Synology hat mehrere kritische Sicherheitslücken im BeeStation OS behoben, nachdem sie während des Wettbewerbs Pwn2Own Ireland 2025 öffentlich ausgenutzt wurden. Die Schwachstellen, zusammen bekannt als Synology BeeStation Zero-Days, ermöglichten es entfernten Angreifern, beliebigen Code auf betroffenen NAS-Geräten auszuführen.
Kritische RCE-Schwachstelle live demonstriert
Die Hauptschwachstelle, registriert als CVE-2025-12686, wurde durch einen Fehler bei der Pufferkopie verursacht, bei dem die Eingabegröße nicht überprüft wurde. Diese Schwachstelle ermöglichte es Forschern des französischen Cybersicherheitsunternehmens Synacktiv, während der Live-Demonstration von Pwn2Own Remote Code Execution zu erreichen. Ihre erfolgreiche Demonstration brachte ihnen eine Prämie von 40.000 US-Dollar ein und veranlasste Synology, die Entwicklung eines Sicherheitspatches zu priorisieren.
Betroffene Versionen und Updates
Die Schwachstellen betrafen mehrere Versionen von BeeStation OS, die in verbraucherorientierten NAS-Systemen verwendet werden, die als persönliche Cloud-Speicher vermarktet werden. Synology empfiehlt Benutzern, auf BeeStation OS 1.3.2-65648 oder eine neuere Version zu aktualisieren, da es für ältere Versionen keine Zwischenlösung gibt. Das Unternehmen betonte, dass nur eine zeitnahe Aktualisierung vollständigen Schutz bieten kann.
Pwn2Own Ireland im größeren Kontext
Pwn2Own Ireland 2025, organisiert von Trend Micros Zero Day Initiative (ZDI), präsentierte 73 Zero-Day-Schwachstellen in beliebten Verbrauchergeräten. Forscher gewannen während des dreitägigen Wettbewerbs zusammen über 1 Million US-Dollar. Die Veranstaltung verdeutlicht die wachsende Bedeutung von ethischem Hacking, um kritische Sicherheitslücken aufzudecken, bevor sie von Angreifern missbraucht werden können.
Nur wenige Tage vor der Veröffentlichung des Synology-Patches hatte ein weiterer NAS-Hersteller, QNAP, sieben Zero-Day-Schwachstellen behoben, die während desselben Wettbewerbs entdeckt wurden. Diese aufeinanderfolgenden Funde verdeutlichen die anhaltenden Sicherheitsherausforderungen bei netzwerkgebundenen Speicherlösungen (NAS).
Verantwortungsvolle Offenlegung und nächste Schritte
Gemäß dem Offenlegungsabkommen von ZDI bleiben die technischen Details der BeeStation-Schwachstellen vertraulich, bis Synology bestätigt, dass der Patch von einer ausreichenden Zahl von Nutzern installiert wurde. Die Organisation plant, ausführliche Berichte zu veröffentlichen, sobald die Update-Rate hoch genug ist. Sicherheitsforscher werden voraussichtlich zu einem späteren Zeitpunkt technische Analysen in ihren Blogs veröffentlichen.
Fazit
Der Patch für die Synology BeeStation Zero-Days unterstreicht die wichtige Zusammenarbeit zwischen ethischen Hackern und Softwareanbietern. Pwn2Own zeigt erneut, wie proaktive Schwachstellenforschung die Cybersicherheit in allen Branchen stärkt. Benutzer werden dringend aufgefordert, BeeStation OS umgehend zu aktualisieren, um das Risiko von Remote-Code-Ausführung zu beseitigen.
0 Kommentare zu „Synology behebt BeeStation-Sicherheitslücken, die bei Pwn2Own Ireland entdeckt wurden“