Synology Perbaiki Zero-Day BeeStation yang Dipamerkan di Pwn2Own Ireland
Synology merilis pembaruan keamanan untuk mengatasi kerentanan kritis remote code execution (RCE) pada produk BeeStation, setelah celah tersebut berhasil dieksploitasi dalam kompetisi Pwn2Own Ireland 2025. Kerentanan ini tercatat sebagai CVE-2025-12686 dan diklasifikasikan dengan tingkat keparahan tinggi.
Celah tersebut berasal dari masalah buffer copy tanpa pemeriksaan ukuran input, yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang terpengaruh. Kerentanan ini berdampak pada beberapa versi BeeStation OS, sistem operasi yang digunakan perangkat NAS konsumen Synology yang dipasarkan sebagai “personal cloud.”
Tidak ada langkah mitigasi sementara untuk mencegah eksploitasi, sehingga Synology merekomendasikan pengguna untuk segera memperbarui perangkat mereka ke BeeStation OS versi 1.3.2-65648 atau yang lebih baru, di mana celah ini telah diperbaiki sepenuhnya.
Eksploitasi di Pwn2Own Ireland 2025
Kerentanan ini pertama kali dipamerkan oleh dua peneliti keamanan, Tek dan anyfun dari perusahaan Synacktiv, dalam ajang Pwn2Own di Irlandia pada 21 Oktober. Demonstrasi keberhasilan eksploitasi tersebut memberikan mereka hadiah sebesar $40.000.
Pwn2Own sendiri merupakan kompetisi tahunan selama tiga hari yang diselenggarakan oleh Trend Micro dan Zero Day Initiative (ZDI). Acara ini memberi kesempatan bagi peneliti keamanan untuk mendemonstrasikan serangan berbasis zero-day terhadap berbagai perangkat populer. Edisi terbaru di Irlandia memperlihatkan total 73 kerentanan zero-day yang diperlihatkan di berbagai produk, dengan total hadiah lebih dari $1 juta.
Tidak hanya Synology, vendor NAS lainnya seperti QNAP juga merilis pembaruan minggu lalu untuk menambal tujuh kerentanan zero-day yang didemonstrasikan dalam kompetisi yang sama.
ZDI memiliki perjanjian kerahasiaan dengan vendor yang berpartisipasi, dan baru akan mengungkap detail teknis secara penuh setelah tambalan dirilis serta pengguna diberikan waktu yang cukup untuk memperbarui perangkat mereka. Informasi tambahan mengenai celah BeeStation ini akan diungkap dalam beberapa bulan mendatang melalui buletin ZDI maupun blog pribadi para peneliti.
