Synology ได้แก้ไขช่องโหว่ remote code execution (RCE) ระดับ critical ใน BeeStation ซึ่งได้มีการสาธิตในงานแข่งขันการเจาะระบบ Pwn2Own เมื่อเร็ว ๆ นี้
ช่องโหว่ด้านความปลอดภัยดังกล่าวมีหมายเลข CVE-2025-12686 โดยถูกระบุว่าเป็นช่องโหว่ Buffer Overflow และสามารถถูกใช้ในการโจมตีเพื่อทำให้สามารถเรียกใช้โค้ดได้ตามต้องการ
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ BeeStation OS หลายเวอร์ชัน ซึ่งเป็น NAS (Network-Attached Storage) ของ Synology ที่ทำการตลาดในรูปแบบ “personal cloud” ที่เน้นไปยังผู้บริโภค
เนื่องจากไม่มีวิธีการลดผลกระทบ (mitigations) ด้วยวิธีการ จึงแนะนำให้ผู้ใช้ทำการอัปเกรดเป็นเวอร์ชัน 1.3.2-65648 หรือสูงกว่า ซึ่งได้ทำการแก้ไขช่องโหว่แล้ว
นักวิจัยชื่อ Tek และ anyfun จากบริษัท Synacktiv ได้ใช้ประโยชน์จากช่องโหว่นี้ในการสาธิตในงาน Pwn2Own Ireland 2025 เมื่อวันที่ 21 ตุลาคมที่ผ่านมาได้สำเร็จ โดยนักวิจัยทั้งสองได้รับรางวัลตอบแทนเป็นจำนวนเงิน 40,000 ดอลลาร์
การแข่งขัน Pwn2Own เป็นการแข่งขันเจาะระบบที่จัดขึ้นโดย Trend Micro และ Zero Day Initiative ซึ่งเปิดโอกาสให้นักวิจัยด้านความปลอดภัยได้เจาะระบบอุปกรณ์อิเล็กทรอนิกส์ยอดนิยมโดยใช้ช่องโหว่ Zero-Day
งานล่าสุดที่จัดขึ้นที่ประเทศไอร์แลนด์ มีนักวิจัยสาธิตช่องโหว่ Zero-day ทั้งหมด 73 รายการ ในผลิตภัณฑ์หลากหลายประเภท และได้รับเงินรางวัลรวมกันมากกว่า 1 ล้านดอลลาร์
สัปดาห์ที่แล้ว ผู้จำหน่ายอุปกรณ์ NAS อย่าง QNAP ก็ได้แก้ไขช่องโหว่ Zero-day รวมทั้งสิ้น 7 รายการในอุปกรณ์หลายรุ่น ซึ่งนักวิจัยได้นำมาแสดงในงาน Pwn2Own Ireland ปีนี้เช่นกัน
ZDI (Zero Day Initiative) มีข้อตกลงในการเปิดเผยข้อมูลร่วมกับบริษัทที่เข้าร่วมการแข่งขัน Pwn2Own และจะระงับการเผยแพร่รายละเอียดทางเทคนิคของช่องโหว่ด้านความปลอดภัยจนกว่าจะมีแพตช์แก้ไขออกมา และให้ผู้ใช้มีเวลาเพียงพอในการติดตั้งการอัปเดตเหล่านั้น
รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้จะถูกเปิดเผยในอีกไม่กี่เดือนข้างหน้าจาก ZDI และในบางกรณีก็จะถูกเปิดเผยบนบล็อกส่วนตัวของนักวิจัยเอง
ที่มา : bleepingcomputer
You must be logged in to post a comment.