Η Synology έχει αντιμετωπίσει μια ευπάθεια κρίσιμης σοβαρότητας απομακρυσμένης εκτέλεσης κώδικα (RCE) σε προϊόντα BeeStation που αποδείχθηκε στον πρόσφατο διαγωνισμό hacking Pwn2Own.
Το ζήτημα ασφαλείας (CVE-2025-12686) περιγράφεται ως πρόβλημα «αντίγραφου buffer χωρίς έλεγχο του μεγέθους της εισόδου» και μπορεί να χρησιμοποιηθεί για να επιτραπεί η αυθαίρετη εκτέλεση κώδικα.
Επηρεάζει πολλαπλές εκδόσεις του BeeStation OS, του λογισμικού που τροφοδοτεί τις συσκευές δικτυακής αποθήκευσης (NAS) της Synology που διατίθενται στο εμπόριο ως «προσωπικό σύννεφο» προσανατολισμένο στον καταναλωτή.
Δεν υπάρχουν διαθέσιμα μέτρα μετριασμού, οπότε ο πωλητής συνιστά που οι χρήστες αναβαθμίζουν στις ακόλουθες εκδόσεις, οι οποίες διευθύνουν :
- BeeStation OS έκδοση 1.3.2-65648 ή νεότερη
- BeeStation OS έκδοση 1.3.2-65648 ή νεότερη
- BeeStation OS έκδοση 1.3.2-65648 ή νεότερη
- BeeStation OS έκδοση 1.3.2-65648 ή νεότερη
Ερευνητές Tek και κάθε διασκέδαση στη γαλλική εταιρεία κυβερνοασφάλειας Synacktiv εκμεταλλεύτηκε το ελάττωμα σε μια επίδειξη κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland 2025 στις 21 Οκτωβρίου. Για την επιτυχή εκμετάλλευσή τους, οι δύο ερευνητές έλαβαν αμοιβή 40.000 δολαρίων.
Ένας τριήμερος διαγωνισμός hacking που διοργανώθηκε από την Trend Micro και την Zero Day Initiative (ZDI), το Pwn2Own δίνει στους ερευνητές ασφαλείας την ευκαιρία να χακάρουν δημοφιλείς συσκευές καταναλωτών χρησιμοποιώντας τρωτά σημεία zero-day.
Η πιο πρόσφατη εκδήλωση που πραγματοποιήθηκε στην Ιρλανδία είχε ερευνητές που επέδειξαν 73 ελαττώματα μηδενικής ημέρας σε μια ευρεία γκάμα προϊόντων και κέρδισαν περισσότερα από 1 εκατομμύριο δολάρια.
Την περασμένη εβδομάδα, ένας άλλος μεγάλος προμηθευτής NAS, η QNAP, διόρθωσε συνολικά επτά ευπάθειες μηδενικής ημέρας σε πολλαπλές συσκευές της εταιρείας, τις οποίες είχαν παρουσιάσει οι χάκερ λευκού καπέλου στο Pwn2Own Ireland φέτος.
Η ZDI έχει συνάψει συμφωνία αποκάλυψης με εταιρείες που συμμετέχουν στο Pwn2Own και αναστέλλει τη δημοσίευση των τεχνικών λεπτομερειών των θεμάτων ασφαλείας έως ότου είναι διαθέσιμες οι ενημερώσεις κώδικα και οι χρήστες έχουν αρκετό χρόνο για να εφαρμόσουν τις ενημερώσεις.
Περισσότερες λεπτομέρειες σχετικά με αυτά τα ελαττώματα θα αποκαλυφθούν τους επόμενους μήνες στον πίνακα ανακοινώσεων του ZDI και, σε ορισμένες περιπτώσεις, σε προσωπικούς χώρους ιστολογίων των ίδιων των ερευνητών.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
