Synology har utgitt sikkerhetsoppdateringer som retter flere kritiske sårbarheter i BeeStation OS etter at de ble utnyttet offentlig under konkurransen Pwn2Own Ireland 2025. Hullene, samlet kjent som Synology BeeStation zero-days, gjorde det mulig for eksterne angripere å kjøre vilkårlig kode på berørte NAS-enheter.

Kritisk RCE-sårbarhet demonstrert live

Den viktigste sårbarheten, sporet som CVE-2025-12686, skyldtes en feil i bufferkopiering som ikke kontrollerte størrelsen på inndata. Denne svakheten gjorde det mulig for forskere fra det franske cybersikkerhetsfirmaet Synacktiv å oppnå ekstern kodekjøring under den direktesendte Pwn2Own-demonstrasjonen. Den vellykkede utnyttelsen ga teamet en belønning på 40 000 dollar og førte til at Synology prioriterte en sikkerhetspatch.

Berørte versjoner og oppdateringer

Sårbarhetene påvirket flere utgaver av BeeStation OS som brukes i forbrukerrettede NAS-systemer markedsført som personlige skylagringsløsninger. Synology anbefaler brukere å oppdatere til BeeStation OS 1.3.2-65648 eller nyere, ettersom det ikke finnes noen midlertidige tiltak for eldre versjoner. Selskapet understreker at rask oppdatering er den eneste måten å sikre berørte systemer på.

Pwn2Own Ireland i bredere kontekst

Pwn2Own Ireland 2025, arrangert av Trend Micros Zero Day Initiative (ZDI), presenterte 73 zero-day-sårbarheter i populære forbrukerenheter. Forskere vant til sammen mer enn 1 million dollar i løpet av den tre dager lange konkurransen. Hendelsen viser hvor viktig etisk hacking har blitt for å avdekke alvorlige sikkerhetsfeil før de utnyttes av trusselaktører.

Bare noen dager før Synology publiserte sin oppdatering, rettet en annen NAS-produsent, QNAP, syv zero-day-sårbarheter som ble avslørt under samme arrangement. Disse påfølgende oppdagelsene illustrerer de vedvarende sikkerhetsutfordringene innen nettverkstilkoblet lagring (NAS).

Ansvarlig avsløring og neste steg

I henhold til ZDI-avtalen om ansvarlig avsløring forblir de tekniske detaljene rundt BeeStation-sårbarhetene konfidensielle til Synology bekrefter at de fleste brukerne har installert oppdateringen. Organisasjonen planlegger å publisere detaljerte rapporter når oppdateringsgraden er høy nok. Forskere forventes også å dele tekniske analyser på sine blogger senere.

Konklusjon

Patchen for Synology BeeStation zero-days understreker det viktige samarbeidet mellom etiske hackere og programvareleverandører. Pwn2Own fortsetter å vise hvordan proaktiv sårbarhetsforskning styrker cybersikkerheten på tvers av bransjer. Brukere oppfordres sterkt til å oppdatere BeeStation OS umiddelbart for å eliminere risikoen for ekstern kodekjøring.


0 responses to “Synology retter BeeStation-sårbarheter avslørt på Pwn2Own Ireland”