Synology’nin BeeStation Zero-Day Açığına Getirdiği Çözüm
Synology, geçtiğimiz günlerde düzenlenen Pwn2Own hacking yarışmasında gösterilen kritik öneme sahip bir uzaktan kod yürütme (RCE) açığını düzeltmek için harekete geçti. Bu güvenlik sorunu, CVE-2025-12686 olarak kodlanmış ve “girdi boyutunu kontrol etmeyen bir tampon kopyalama” problemi olarak tanımlanmıştır. Açığın istismar edilmesi, kötü niyetli yazılımların sistem üzerinde rastgele kod yürütmesine olanak sağlamaktadır.
Açığın Etkileri
Bu güvenlik sorunu, Synology’nin tüketici odaklı “kişisel bulut” olarak pazarladığı ağ bağlı depolama (NAS) cihazlarının işletim sistemi olan BeeStation OS’un birden çok versiyonunu etkilemektedir. Kullanıcıların, bu açığın etkilerinden korunmak için gerekli güncellemeleri yapması son derece önemlidir.
Güncelleme ve Öneriler
Güvenlik açığı için herhangi bir geçici çözüm mevcut değildir. Bu nedenle, Synology, kullanıcıların aşağıdaki versiyonlara güncelleme yapmalarını önermektedir:
- BeeStation OS versiyonu 1.3.2-65648 veya üzeri
Güncellemeyi yapmak, kullanıcıların sistemlerini korumak için atacakları en önemli adım olacaktır. Kullanıcıların, bu güncellemeleri zamanında yapması gerektiği unutulmamalıdır.
Pwn2Own Yarışmasındaki Başarı
Fransız siber güvenlik şirketi Synacktiv’ten araştırmacılar Tek ve anyfun, bu açığı 21 Ekim 2025 tarihinde düzenlenen Pwn2Own İrlanda yarışmasında başarılı bir şekilde istismar ettiler. Bu gösterim sonucunda, her iki araştırmacı da 40,000 dolarlık ödül kazandı. Pwn2Own, Trend Micro ve Zero Day Initiative (ZDI) tarafından düzenlenen üç günlük bir hacking yarışmasıdır. Yarışmada, güvenlik araştırmacıları popüler tüketici cihazlarını sıfır-gün açıları kullanarak hackleme fırsatı buluyorlar.
Diğer Güvenlik Açıkları
İrlanda’daki en son etkinlikte, araştırmacılar 73 sıfır-gün açığını çeşitli ürünlerde gösterdiler ve toplamda 1 milyon dolardan fazla ödül kazandılar. Bu yarışma, katılımcı şirketlerle yapılan bir ifşaat anlaşması nedeniyle, güvenlik sorunlarının teknik detaylarının güncellemeler mevcut olana kadar yayımlanmadığını vurgulamaktadır.
Önümüzdeki aylarda, ZDI’nin bülten panosunda ve bazen de araştırmacıların kişisel bloglarında bu açıklarla ilgili daha fazla ayrıntı paylaşılacaktır.
