Cisco waarschuwt voor aanvallen op ASA-firewalls
Cisco waarschuwt organisaties en systeembeheerders voor aanvallen op ASA-firewalls en Firepower Appliances. Door het versturen van een speciaal geprepareerde url kan een aanvaller de beveiligingsapparatuur laten rebooten of gevoelige informatie achterhalen.
De kwetsbaarheid wordt al sinds juni vorig jaar aangevallen, maar de afgelopen dagen en weken is er volgens Cisco een toename van het aantal aanvallen zichtbaar. Organisaties krijgen dan ook het advies om de beschikbare beveiligingsupdate te installeren of andere mitigatiemaatregelen door te voeren.
"Dit is geen nieuwe kwetsbaarheid, maar nu misbruik toeneemt moeten klanten zich bewust zijn van het risico van zowel een denial of service of het lekken van ongeauthenticeerde informatie. Nu we richting de feestdagen gaan nemen mensen vrij, maar aanvallers niet", zegt Nick Biasini van Cisco, die klanten oproept om zo snel als mogelijk maatregelen te nemen om het risico en de impact voor organisaties te verkleinen.
Het is zakelijke apparatuur, daar gaan ze erbij vanuit dat je een servicecontract (Cisco SMARTnet contract) afsluit om bij de downloads te kunnen. Hetzelfde geldt bij Fortinet en vele andere zakelijke apparatuur die aangeschaft wordt helaas.
Er is een uitzondering dat je wel een firmware update kan krijgen als het een beveiligingsprobleem betreft geloof ik. Daarvoor dien je dan een case bij TAC (Technical Assistance Center) aan te maken en kunnen een desbetreffende download vrijgeven. Dit duurt echter vaak wel enkele dagen, omdat je geen response time hebt.
dit is gewoon geld verdienen aan brakke code.
Dit soort nieuws hoor je nu nooit van Huawei apparatuur. Dat betekent dat of de achterdeuren beter verborgen zijn of dat deze er niet in zitten. Tja, volgens mij moeten we ons minder afhankelijk maken van bedrijven als CISCO.
dit is gewoon geld verdienen aan brakke code.
Er wordt al jaren geld verdient aan brakke code door het gebrek aan fatsoenlijke QA bij hedendaagse tech bedrijven.
Ik ben vaak meer tijd kwijt door bugs waar ik tegen aanloop en deze te melden met alle technische informatie dan aan het beheren van de omgeving.
Het is zakelijke apparatuur, daar gaan ze erbij vanuit dat je een servicecontract (Cisco SMARTnet contract) afsluit om bij de downloads te kunnen. Hetzelfde geldt bij Fortinet en vele andere zakelijke apparatuur die aangeschaft wordt helaas.
Er is een uitzondering dat je wel een firmware update kan krijgen als het een beveiligingsprobleem betreft geloof ik. Daarvoor dien je dan een case bij TAC (Technical Assistance Center) aan te maken en kunnen een desbetreffende download vrijgeven. Dit duurt echter vaak wel enkele dagen, omdat je geen response time hebt.
Ja vet makkelijk... bij juniper kan ik die zonder paywall downloaden net als bij ander zakelijke apparatuur.
Het is zakelijke apparatuur, daar gaan ze erbij vanuit dat je een servicecontract (Cisco SMARTnet contract) afsluit om bij de downloads te kunnen. Hetzelfde geldt bij Fortinet en vele andere zakelijke apparatuur die aangeschaft wordt helaas.
....
Het blokkeren van updates en patches als er geen onderhoudscontract is, zouden ze moeten verbieden. Als er fouten in de apparatuur (software) zitten, dan is er sprake van een ondeugdelijk product. Fabrikanten zouden verplicht moeten zijn om die - ook zonder onderhoudscontract - beschikbaar te stellen. Ik heb het dan enkel over updates die fouten herstellen. Dat fabrikanten updates met functionele uitbreidingen alleen beschikbaar stellen aan klanten met een onderhoudsovereenkomst, is uiteraard wel een redelijke eis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
