Synologyは、最近開催されたPwn2Ownハッキングコンペティションで実演された、BeeStation製品における重大なリモートコード実行(RCE)の脆弱性に対応しました。
このセキュリティ問題(CVE-2025-12686)は「入力サイズを確認せずにバッファコピーを行う」問題と説明されており、悪用されると任意のコードを実行される可能性があります。
この脆弱性は、Synologyのネットワーク接続型ストレージ(NAS)デバイスで、コンシューマー向け「パーソナルクラウド」として販売されているBeeStation OSの複数バージョンに影響します。
回避策は提供されていないため、ベンダーはユーザーに対し、以下のバージョンへのアップグレードを推奨しています。これらのバージョンで問題が修正されています:
- BeeStation OS バージョン 1.3.2-65648 以上
- BeeStation OS バージョン 1.3.2-65648 以上
- BeeStation OS バージョン 1.3.2-65648 以上
- BeeStation OS バージョン 1.3.2-65648 以上
フランスのサイバーセキュリティ企業Synacktivの研究者Tek氏とanyfun氏は、2025年10月21日に開催されたPwn2Own Irelandコンテストでこの脆弱性を実演し、成功報酬として4万ドルを獲得しました。
Pwn2Ownは、Trend MicroとZero Day Initiative(ZDI)が主催する3日間のハッキングコンペティションで、セキュリティ研究者がゼロデイ脆弱性を利用して人気のコンシューマーデバイスをハッキングする機会を提供しています。
直近のアイルランド開催イベントでは、研究者たちが73件のゼロデイ脆弱性を様々な製品で実演し、総額100万ドル以上を獲得しました。
先週、もう一つの主要NASベンダーであるQNAPも、今年のPwn2Own Irelandでホワイトハッカーにより実演された同社の複数デバイスに存在する合計7件のゼロデイ脆弱性を修正しました。
ZDIはPwn2Ownに参加する企業と開示契約を結んでおり、パッチが提供され、ユーザーが十分にアップデートを適用するまで技術的な詳細の公開を控えています。
これらの脆弱性に関するさらなる詳細は、今後数か月以内にZDIの掲示板や、場合によっては研究者自身の個人ブログで公開される予定です。
