A Synology emitiu uma atualização de segurança urgente para os seus dispositivos BeeStation, corrigindo uma vulnerabilidade crítica de execução remota de código (RCE) que foi demonstrada com sucesso durante a recente competição de hacking Pwn2Own Ireland 2025.
A vulnerabilidade CVE-2025-12686
A falha, agora rastreada como CVE-2025-12686, é descrita como um problema de "cópia de buffer sem verificar o tamanho do input". Esta vulnerabilidade permite que um atacante execute código arbitrário no dispositivo.
O problema afeta múltiplas versões do BeeStation OS, o software que alimenta estes populares dispositivos de armazenamento (NAS) da Synology, comercializados como uma solução de "nuvem pessoal" orientada para o consumidor.
Atualização é urgente e sem mitigação
A Synology sublinha que não existem mitigações alternativas para esta vulnerabilidade, pelo que a atualização é crucial. A empresa recomenda que todos os utilizadores atualizem o seu software para as versões mais recentes que corrigem o problema.
De acordo com o comunicado oficial da Synology, a versão corrigida é a 1.3.2-65648 (ou superior).
O palco do Pwn2Own
Esta falha de segurança foi explorada com sucesso a 21 de outubro pelos investigadores "Tek" e "anyfun", da empresa francesa de cibersegurança Synacktiv, durante o Pwn2Own Ireland 2025. A demonstração valeu à dupla um prémio de 40.000 dólares.
O Pwn2Own, organizado pela Zero Day Initiative (ZDI) da Trend Micro, é uma competição de hacking de três dias onde investigadores de segurança têm a oportunidade de explorar dispositivos populares usando vulnerabilidades "zero-day". O evento na Irlanda resultou na descoberta de 73 falhas e distribuiu mais de 1 milhão de dólares em prémios.
A Synology não foi a única visada. Na semana passada, a QNAP também foi forçada a corrigir sete vulnerabilidades "zero-day" demonstradas no mesmo evento. A ZDI retém os detalhes técnicos das falhas até que as correções estejam disponíveis para o público.
Nenhum comentário
Seja o primeiro!