Synology telah mengatasi kerentanan eksekusi kode jarak jauh (RCE) dengan tingkat keparahan kritis pada produk BeeStation yang ditunjukkan pada kompetisi peretasan Pwn2Own baru-baru ini.
Masalah keamanan (CVE-2025-12686) digambarkan sebagai masalah ‘salinan buffer tanpa memeriksa ukuran input’, dan dapat dieksploitasi untuk memungkinkan eksekusi kode arbitrer.
Hal ini berdampak pada beberapa versi BeeStation OS, perangkat lunak yang mendukung perangkat penyimpanan terpasang jaringan (NAS) Synology yang dipasarkan sebagai “cloud pribadi” yang berorientasi konsumen.
Tidak ada mitigasi yang tersedia, begitu pula vendornya merekomendasikan agar pengguna meningkatkan ke versi berikut, yang alamatnya :
- BeeStation OS versi 1.3.2-65648 atau lebih tinggi
- BeeStation OS versi 1.3.2-65648 atau lebih tinggi
- BeeStation OS versi 1.3.2-65648 atau lebih tinggi
- BeeStation OS versi 1.3.2-65648 atau lebih tinggi
Peneliti Hanya Dan menyenangkan di perusahaan keamanan siber Prancis Synacktiv mengeksploitasi kelemahan dalam demonstrasi selama kontes Pwn2Own Irlandia 2025 pada tanggal 21 Oktober. Atas keberhasilan eksploitasi mereka, kedua peneliti tersebut menerima hadiah $40.000.
Kompetisi peretasan selama tiga hari yang diselenggarakan oleh Trend Micro dan Zero Day Initiative (ZDI), Pwn2Own memberikan kesempatan kepada peneliti keamanan untuk meretas perangkat konsumen populer menggunakan kerentanan zero-day.
Acara terbaru yang diadakan di Irlandia telah didemonstrasikan oleh para peneliti 73 kelemahan zero-day di berbagai macam produk dan memenangkan lebih dari $1 juta.
Minggu lalu, vendor NAS besar lainnya, QNAP, diperbaiki total tujuh kerentanan zero-day di beberapa perangkat dari perusahaan, yang ditunjukkan oleh peretas topi putih di Pwn2Own Irlandia tahun ini.
ZDI memiliki perjanjian pengungkapan dengan perusahaan yang berpartisipasi dalam Pwn2Own dan menunda publikasi rincian teknis masalah keamanan hingga patch tersedia dan pengguna memiliki cukup waktu untuk menerapkan pembaruan.
Rincian lebih lanjut mengenai kelemahan ini akan diungkapkan dalam beberapa bulan mendatang di papan buletin ZDI dan, dalam beberapa kasus, di blog pribadi para peneliti itu sendiri.
Tolok Ukur Anggaran CISO 2026
Ini musim anggaran! Lebih dari 300 CISO dan pemimpin keamanan telah berbagi bagaimana mereka merencanakan, membelanjakan, dan membuat prioritas untuk tahun depan. Laporan ini mengumpulkan wawasan mereka, memungkinkan pembaca untuk membuat tolok ukur strategi, mengidentifikasi tren yang muncul, dan membandingkan prioritas mereka menjelang tahun 2026.
Pelajari bagaimana para pemimpin terkemuka mengubah investasi menjadi dampak yang terukur.
