image

CERT/CC hekelt Netgear over onduidelijke end-of-life status routers

maandag 29 juni 2020, 09:31 door Redactie, 1 reacties
Laatst bijgewerkt: 29-06-2020, 12:42

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft uitgehaald richting netwerkfabrikant Netgear omdat het bedrijf niet duidelijk aan gebruikers laat weten wanneer producten end-of-life zijn en geen beveiligingsupdates meer ontvangen.

Aanleiding voor de opmerking is een kwetsbaarheid in 79 modellen Netgear-routers waardoor aanvallers op afstand de apparaten kunnen overnemen. Inmiddels heeft Netgear voor zeventien modellen "hotfixes" uitgebracht. Het gaat hier om beta firmware die buiten de normale ontwikkel- en testprocessen is gemaakt. De hotfixes verhelpen de kwetsbaarheden, maar kunnen ook de normale werking van de apparaten negatief beïnvloeden, aldus de uitleg van Netgear.

Het is echter onbekend of en wanneer de andere modellen updates ontvangen. "Netgear geeft niet aan wanneer een apparaat de end-of-life status heeft bereikt. Dit kan het lastiger maken om te bepalen of een kwetsbaar apparaat nog updates in de toekomst ontvangt", aldus het CERT/CC. De instantie heeft een spreadsheet gemaakt met een overzicht van kwetsbare Netgear-routers, of die nog worden ondersteund en of ze een hotfix hebben ontvangen.

Tevens wijst het CERT/CC naar eerder gegeven advies dat gebruikers bij het aanschaffen van producten de supportperiode van de fabrikant moeten laten meewegen. Zo moet de voorkeur worden gegeven aan fabrikanten die duidelijk aangeven hoe lang een apparaat updates ontvangt. Hetzelfde geldt voor fabrikanten die duidelijk vermelden wanneer een product end-of-life is.

Het CERT/CC publiceert informatie over kwetsbaarheden en vervult een coördinerende rol tussen beveiligingsonderzoekers en leveranciers.

Update

Netgear biedt wel een lijst waarop de end-of-life datum van verschillende producten staat vermeld (pdf). Deze lijst is echter al meer dan een jaar niet meer bijgewerkt. Daarnaast gaat het om producten waarvan de end-of-life datum al is bereikt.

Reacties (1)
29-06-2020, 11:24 door Anoniem
Er is wel een lijst, als je goed zoekt, te vinden op: https://www.netgear.com/images/aboutus/warranty/SMB_External_EOL_List_0331-2019.pdf
Alleen veel van deze artikelen zijn nog gewoon generiek te koop, zonder dat de verkoper meldt dat het product EOL is.
Hierbij 2 voorbeelden van producten die sinds 2014 (!) end-of-live zijn volgens deze lijst:
- FS105-200PES - overal verkrijgbaar: https://tweakers.net/pricewatch/144845/netgear-prosafe-fs105-eu-stroomadapter.html
- FS108-200PES - overal verkrijgbaar: https://tweakers.net/pricewatch/144846/netgear-prosafe-fs108-eu-stroomadapter.html

Persoonlijk vind ik dat als het product verkocht wordt (en in dit voorbeeld is dit echt niet allemaal oude voorraad en dat betekend dus dat dit gewoon wordt geproduceerd!) er minimaal 2 jaar nadat de het laatste product verkocht is. Er komt dus een datum vanuit de fabrikant dat het product niet meer verkocht mag worden en leveranciers de onverkochte producten moeten retourneren naar de fabrikant.
Daarnaast de mogelijkheid om tot 10 jaar na EOL status onderdelen en software update te kopen, net zoals dit in de industrie gebruikelijk is. Dan zouden nieuwe features verkocht kunnen worden (bijv. support voor IPV6 of andere nieuwe technieken of toepassingen) en de veiligheidsupdates zouden dan gratis moeten zijn.
Het is mogelijk dat de aanschafprijs gaat dan omhoog gaat, maar het product krijgt dan wel een langere levensduur (beter voor milieu) en de veiligheid is beter. (beter voor de maatschappij)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.