Synology BeeStationの重大な脆弱性を修正
Synologyは、Pwn2Ownハッキングコンペティションで実証されたBeeStation製品の重大なリモートコード実行(RCE)脆弱性に対処しました。この脆弱性(CVE-2025-12686)は、「入力サイズのチェックなしでのバッファコピー」として説明されており、悪用されると任意のコード実行を可能にする可能性があります。
この問題は、Synologyが消費者向け「パーソナルクラウド」として販売するネットワークアタッチトストレージ(NAS)デバイスを搭載するBeeStation OSの複数のバージョンに影響を及ぼします。
対策と推奨事項
現在、この脆弱性に対する緩和策は提供されていません。Synologyは、ユーザーに対し、BeeStation OSバージョン1.3.2-65648以降にアップグレードすることを強く推奨しています。
Pwn2Own Ireland 2025での発見と報奨金
この脆弱性は、フランスのサイバーセキュリティ企業Synacktivの研究者であるTekとanyfunによって、2025年10月21日に開催されたPwn2Own Ireland 2025コンテスト中にデモンストレーションされました。彼らはこの成功したエクスプロイトに対して、40,000ドルの報奨金を受け取りました。
Pwn2Ownの役割と業界の動向
Pwn2Ownは、Trend MicroとZero Day Initiative(ZDI)が主催するハッキングコンペティションであり、セキュリティ研究者にゼロデイ脆弱性を使用して人気のある消費者向けデバイスをハッキングする機会を提供しています。アイルランドで開催された最新のイベントでは、研究者たちが幅広い製品で73のゼロデイ脆弱性を実証し、100万ドル以上の報奨金を獲得しました。
先週には、別の主要なNASベンダーであるQNAPも、今年のPwn2Own Irelandで発見された同社の複数のデバイスにおける合計7つのゼロデイ脆弱性を修正したと発表しています。
脆弱性情報の今後の公開について
ZDIはPwn2Ownに参加する企業との間で開示契約を結んでおり、パッチが利用可能になり、ユーザーがアップデートを適用するのに十分な時間が経過するまで、セキュリティ問題の技術的な詳細の公開を控える方針です。これらの脆弱性に関する詳細は、今後数ヶ月以内にZDIの掲示板、そして場合によっては研究者自身の個人ブログスペースで公開される予定です。