Synology BeeStation 0-Day Vulnerability Let Remote Attackers Execute Arbitrary Code
2025/11/11 CyberSecurityNews — Synology が公開したのは、BeeStation OS に存在するリモート・コード実行の脆弱性 CVE-2025-12686 (ZDI-CAN-28275) に対処する緊急セキュリティ・アップデートである。この脆弱性を悪用する未認証の攻撃者は、影響を受けるデバイス上で任意のコードを実行する可能性がある。脆弱性 CVE-2025-12686 (CVSS 3:9.8:Critical) は、BeeStation OS に存在する典型的なバッファ・オーバーフロー (CWE-120) に起因し、認証やユーザー操作を必要としないネットワーク経由での攻撃を可能にする。
Synology BeeStation におけるゼロデイ脆弱性
BeeStation OS のバッファ・オーバーフロー状態を悪用するリモートの攻撃者は、メモリ・バッファをオーバーフローさせる入力を作成することで、システム全体の侵害を引き起こす可能性を得る。
CVSS 3 ベクター (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) が示すとおり、この脆弱性は攻撃の複雑度が低く、ネットワーク経由でアクセス可能であり、特権やユーザー操作を必要としない。これらの条件が重なることで、実環境において悪用されるリスクが極めて高いとされる。
| CVE ID | Vulnerability Name | Severity | CVSS3 Base Score | CVSS3 Vector |
|---|---|---|---|---|
| CVE-2025-12686 | Buffer Overflow in BeeStation OS | Critical | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
現時点において有効な緩和策はなく、即時のパッチ適用が唯一の防御手段である。
影響を受ける製品とパッチ
すでに Synology は、影響を受ける全ての BeeStation OS バージョン向けに、セキュリティ・アップデートを公開している。BeeStation デバイスを保有する組織およびユーザーは、直ちにファームウェア更新を適用すべきである。
| Product | Update To |
|---|---|
| BeeStation OS 1.0 | 1.3.2-65648+ |
| BeeStation OS 1.1 | 1.3.2-65648+ |
| BeeStation OS 1.2 | 1.3.2-65648+ |
| BeeStation OS 1.3 | 1.3.2-65648+ |
この脆弱性の悪用の容易さとリモート・アクセス可能性という性質を考慮すると、パッチ適用の遅延により、システムを重大なリスクに晒す恐れがある。
Synology の研究者たちは Zero Day Initiative プログラムを通じて、悪用の可能性を実証している。この共同開示により、迅速なパッチ提供が可能となり、ユーザーを悪用のリスクから保護する状況が整っている。
BeeStation ユーザーにとって必要なことは、デバイスのバージョンを確認し、推奨される更新を遅滞なく適用し、このリモート・コード実行の脅威を排除することだ。
この脆弱性の原因は、BeeStation OS にあるバッファ・オーバーフローにあり、攻撃者が特別な入力を送るだけでシステム上で任意のコードを実行できる点が問題とされています。認証も操作も不要であり、ネットワーク越しに簡単に悪用できるため、危険度が非常に高いタイプの欠陥です。すでに Synology が修正パッチを提供しています。ご利用のチームは、ご注意ください。よろしければ、Synology で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.