Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft uitgehaald richting netwerkfabrikant Netgear omdat het bedrijf niet duidelijk aan gebruikers laat weten wanneer producten end-of-life zijn en geen beveiligingsupdates meer ontvangen.
Aanleiding voor de opmerking is een kwetsbaarheid in 79 modellen Netgear-routers waardoor aanvallers op afstand de apparaten kunnen overnemen. Inmiddels heeft Netgear voor zeventien modellen "hotfixes" uitgebracht. Het gaat hier om beta firmware die buiten de normale ontwikkel- en testprocessen is gemaakt. De hotfixes verhelpen de kwetsbaarheden, maar kunnen ook de normale werking van de apparaten negatief beïnvloeden, aldus de uitleg van Netgear.
Het is echter onbekend of en wanneer de andere modellen updates ontvangen. "Netgear geeft niet aan wanneer een apparaat de end-of-life status heeft bereikt. Dit kan het lastiger maken om te bepalen of een kwetsbaar apparaat nog updates in de toekomst ontvangt", aldus het CERT/CC. De instantie heeft een spreadsheet gemaakt met een overzicht van kwetsbare Netgear-routers, of die nog worden ondersteund en of ze een hotfix hebben ontvangen.
Tevens wijst het CERT/CC naar eerder gegeven advies dat gebruikers bij het aanschaffen van producten de supportperiode van de fabrikant moeten laten meewegen. Zo moet de voorkeur worden gegeven aan fabrikanten die duidelijk aangeven hoe lang een apparaat updates ontvangt. Hetzelfde geldt voor fabrikanten die duidelijk vermelden wanneer een product end-of-life is.
Het CERT/CC publiceert informatie over kwetsbaarheden en vervult een coördinerende rol tussen beveiligingsonderzoekers en leveranciers.
Netgear biedt wel een lijst waarop de end-of-life datum van verschillende producten staat vermeld (pdf). Deze lijst is echter al meer dan een jaar niet meer bijgewerkt. Daarnaast gaat het om producten waarvan de end-of-life datum al is bereikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.