Synology, BeeStation OS’de kimliği doğrulanmamış saldırganların etkilenen cihazlarda rastgele kod yürütmesine olanak tanıyan kritik bir uzaktan kod yürütme güvenlik açığını gideren acil bir güvenlik güncellemesi yayınladı.
CVE-2025-12686 olarak takip edilen ve ZDI-CAN-28275 tarafından tanımlanan güvenlik açığı, ciddi etkisini ve istismar edilebilirliğini yansıtan 9,8 kritik CVSS3 taban puanına sahiptir.
Kusur, BeeStation OS’deki klasik arabellek taşması güvenlik açığından (CWE-120) kaynaklanıyor ve kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden ağ tabanlı saldırılara maruz kalmasına neden oluyor.
Synology BeeStation’da 0 Günlük Güvenlik Açığı
BeeStation OS’deki arabellek taşması durumu, uzaktaki saldırganların bellek arabelleklerini aşan kötü amaçlı girdiler oluşturmasına olanak tanır ve potansiyel olarak sistemin tamamen tehlikeye girmesine yol açar.
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS3 vektörüyle güvenlik açığı, saldırı karmaşıklığının düşük olduğunu, ağ erişilebilirliğini ortaya koyuyor ve herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmiyor.
| CVE Kimliği | Güvenlik Açığı Adı | Şiddet | CVSS3 Temel Puanı | CVSS3 Vektör |
|---|---|---|---|---|
| CVE-2025-12686 | BeeStation İşletim Sisteminde Arabellek Taşması | Kritik | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Bu kombinasyon, kusurun gerçek dünya senaryolarında biraz istismar edilebilir olmasını sağlar. Şu anda herhangi bir hafifletme stratejisi mevcut değil, bu da anında yama yapılmasını geçerli tek savunma haline getiriyor.
Etkilenen Ürünler ve Yamalar
Synology, etkilenen tüm BeeStation İşletim Sistemi sürümleri için güvenlik güncellemeleri yayınladı:
| Ürün | Güncelle |
|---|---|
| BeeStation İşletim Sistemi 1.0 | 1.3.2-65648+ |
| BeeStation İşletim Sistemi 1.1 | 1.3.2-65648+ |
| BeeStation İşletim Sistemi 1.2 | 1.3.2-65648+ |
| BeeStation İşletim Sistemi 1.3 | 1.3.2-65648+ |
BeeStation cihazlarına sahip kuruluşlar ve kullanıcılar, ürün yazılımı güncellemelerine hemen öncelik vermelidir. Bu güvenlik açığının doğası, geçici çözümlerin olmayışı ile birleştiğinde, tehdit aktörlerinin potansiyel istismarını önlemek için acil eylem yapılmasını gerektirmektedir.
Kullanım kolaylığı ve uzaktan erişilebilirlik göz önüne alındığında, yamaların geciktirilmesi sistemleri önemli risklere maruz bırakır. Synology araştırmacıları, Sıfır Gün Girişimi programı aracılığıyla istismar potansiyelini gösterdi. Bu işbirliğine dayalı açıklama, kullanıcıları aktif istismardan korurken yamaların zamanında yapılmasını sağlar.
BeeStation kullanıcılarının, bu uzaktan kod yürütme tehdidini ortadan kaldırmak için cihaz sürümlerini kontrol etmeleri ve önerilen güncellemeleri gecikmeden uygulamaları gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
