Synology a rezolvat o vulnerabilitate critică ce permite execuția de cod la distanță în produsele BeeStation, descoperită și demonstrată recent la competiția Pwn2Own din Irlanda. Problema provine dintr-un bug din BeeStation OS prezent pe dispozitivele NAS Synology pentru uz casnic și implica copierea unui buffer fără verificarea dimensiunii datelor de intrare, fapt ce poate fi exploatat pentru a rula cod arbitrar.
Vulnerabilitatea are identificatorul CVE-2025-12686 și afectează mai multe versiuni ale BeeStation OS. Nu au fost raportate soluții temporare eficiente, astfel că producătorul recomandă actualizarea imediată la versiunea 1.3.2-65648 sau la una mai nouă, care conține corecția. Singura protecție sigură în acest caz este instalarea update-urilor, motiv pentru care utilizatorii NAS Synology trebuie să verifice firmware-ul și să aplice patch-urile disponibile cât mai repede.
Vulnerabilitatea a fost exploatată public la Pwn2Own Ireland 2025, pe 21 octombrie, de doi cercetători din firma franceză Synacktiv, Tek și anyfun. Pentru demonstrarea exploatării au primit un premiu de 40.000 de dolari. Pwn2Own, organizat de Trend Micro și Zero Day Initiative, oferă cercetătorilor ocazia de a descoperi vulnerabilități zero-day în produse populare. La ediția din Irlanda au fost prezentate 73 de zero-day-uri în diverse dispozitive, iar premiile totale au depășit un milion de dolari. Evenimentul arată intensitatea cercetărilor în securitate și necesitatea răspunsurilor rapide din partea vendorilor.
Tot la Pwn2Own în acest an au fost descoperite și reparate defecte critice la alt furnizor important de NAS, QNAP, care a remediat șapte vulnerabilități zero-day. Modelul folosit de ZDI presupune un acord de divulgare: detaliile tehnice nu sunt făcute publice imediat, ci sunt amânate până la lansarea patch-urilor, pentru a oferi timp utilizatorilor să actualizeze înainte ca exploatațiile să fie publicate. În câteva luni, ZDI va publica mai multe detalii în bulletinul său, iar cercetătorii pot oferi explicații suplimentare pe blogurile personale.
Acest episod subliniază rolul competițiilor Pwn2Own în securitatea cibernetică: ele scot la iveală vulnerabilități reale și obligă producătorii să remedieze rapid, reducând riscul pentru utilizatori. BeeStation OS 1.3.2-65648 este versiunea recomandată pentru remediu, iar Synacktiv a demonstrat exploit-ul și a primit 40.000 USD. Dacă aveți un NAS Synology, verificați firmware-ul și actualizați cât mai curând.
Ești utilizator de NAS Synology sau administrator de rețea? Care pași urmezi de obicei când apare o alertă de securitate pentru echipamentele tale?
Fii primul care comentează