В ноябре 2025 года стала известна новая критические уязвимость в операционной системе BeeStation OS, разработанной компанией Synology Inc. для одноименных персональных облачных хранилищ. Проблема получила идентификатор BDU:2025-15405 и CVE-2025-12686. Эксперты оценивают её базовый уровень опасности как критический, поскольку успешная эксплуатация позволяет злоумышленнику удалённо выполнить произвольный код на уязвимом устройстве без каких-либо предварительных условий аутентификации.
Детали уязвимости
Техническая суть уязвимости относится к классическим ошибкам программирования. Она классифицируется как CWE-120, то есть копирование буфера без проверки размера входных данных, что ведёт к переполнению буфера. Проще говоря, определённый компонент операционной системы неправильно обрабатывает специально сформированные внешние данные, не проверяя их длину. В результате злоумышленник может записать в память устройства больше информации, чем выделено для обработки. Следовательно, это позволяет перезаписать критически важные области памяти и перенаправить выполнение программы на свой вредоносный код.
Атака не требует от злоумышленника наличия учётных записей или специальных привилегий на целевом устройстве. Уязвимость затрагивает все версии BeeStation OS до 1.3.2-65648. Согласно системам оценки CVSS 2.0 и CVSS 3.1, базовые оценки уязвимости составляют 10.0 и 9.8 баллов из 10 соответственно. Такой высокий балл присваивается из-за сетевого вектора атаки, низкой сложности эксплуатации и полного воздействия на конфиденциальность, целостность и доступность системы. Другими словами, воспользовавшись этой уязвимостью, злоумышленник может получить полный контроль над устройством BeeStation.
Важно отметить, что согласно данным Банка данных угроз безопасности информации, для данной уязвимости уже существует работающий эксплойт. Эксперты указывают, что способ эксплуатации заключается в манипулировании структурами данных. Это означает, что атака является реализуемой на практике, а не только теоретической угрозой. Следовательно, злоумышленники могут активно использовать её для компрометации устройств, которые не были своевременно обновлены. В результате на устройство может быть загружен вредоносный payload, например, для организации ботнета, кражи данных или шифрования файлов.
Производитель, компания Synology, уже подтвердил наличие уязвимости и выпустил необходимое обновление. Проблема была устранена в версии BeeStation OS 1.3.2-65648. Соответственно, единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения устройства до актуальной версии. Все рекомендации для пользователей опубликованы в официальном бюллетене безопасности Synology SA 25/12. Специалисты настоятельно рекомендуют владельцам BeeStation проверить текущую версию операционной системы и установить патч безотлагательно.
Данный инцидент в очередной раз подчёркивает важность своевременного обновления прошивок даже для специализированных устройств, таких как сетевое хранилище. Несмотря на то что BeeStation позиционируется как персональное решение, его компрометация может привести к утечке личных данных, фотографий и документов. Кроме того, взломанное устройство может быть использовано для атак на другие системы внутри домашней сети. Регулярное обновление программного обеспечения остаётся базовой, но критически важной мерой кибергигиены для любого подключённого к интернету устройства.
Ссылки
- https://bdu.fstec.ru/vul/2025-15405
- https://www.synology.com/en-us/security/advisory/Synology_SA_25_12
