0Day стоил $40000, а пользователям — всех файлов. Немедленное обновление Synology — единственный способ избежать эксплуатации

Synology устранила уязвимость нулевого дня в своих устройствах BeeStation, продемонстрированную на недавнем конкурсе Pwn2Own. Ошибка получила идентификатор CVE-2025-12686 и относится к категории «копирование буфера без проверки размера входных данных», что позволяет злоумышленнику выполнять произвольный код на целевой системе.

Проблема затрагивает несколько версий операционной системы BeeStation OS, которая управляет потребительскими сетевыми накопителями Synology и позиционируется как «персональное облако». Исправление включено в обновление BeeStation OS версии 1.3.2-65648 и выше. Других способов временно снизить риск эксплуатации не существует, поэтому пользователям рекомендуется немедленно установить обновлённую версию прошивки.

Уязвимость была продемонстрирована исследователями Tek и anyfun из французской компании Synacktiv во время конкурса Pwn2Own Ireland 2025, проходившего 21 октября. За успешную эксплуатацию ошибки команда получила вознаграждение в размере 40 000 долларов.

Мероприятие Pwn2Own ежегодно собирает специалистов по информационной безопасности со всего мира, предоставляя им возможность продемонстрировать эксплуатацию уязвимостей нулевого дня в популярных устройствах. На прошедшем в Ирландии конкурсе участники представили 73 ранее неизвестные ошибки в различных продуктах и заработали свыше миллиона долларов.

Неделей ранее другой крупный производитель NAS-устройств, QNAP, также выпустил обновления, устраняющие 7 уязвимостей нулевого дня, найденных на том же мероприятии.

Согласно соглашению о раскрытии информации, ZDI воздерживается от публикации технических подробностей до выхода исправлений и завершения периода обновления для пользователей. Ожидается, что детальное описание уязвимостей появится на сайте инициативы и в блогах исследователей в ближайшие месяцы.