image

Cisco waarschuwt voor kritieke kwetsbaarheid in end-of-life routers

donderdag 8 april 2021, 16:56 door Redactie, 10 reacties

Cisco waarschuwt bedrijven en organisaties voor een kritieke kwetsbaarheid in vier type routers voor het mkb waardoor een aanvaller de apparaten op afstand kan overnemen. Doordat de routers end-of-life zijn zal Cisco geen beveiligingsupdates uitbrengen om het beveiligingslek te verhelpen.

De kwetsbaarheid, aangeduid als CVE-2021-1459, is aanwezig in de Cisco Small Business RV110W, RV130, RV130W en RV215W routers. Het probleem wordt veroorzaakt doordat de webinterface van de apparaten niet goed omgaat met het valideren van gebruikersinvoer. Door het versturen van speciaal geprepareerde http requests kan een aanvaller code als root op de router uitvoeren. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld.

De vier type routers worden sinds december niet meer door Cisco ondersteund. Om de aanval uit te kunnen voeren moet de webinterface voor een aanvaller toegankelijk zijn. Cisco adviseert dan ook om remote management uit te schakelen. De optie staat standaard niet ingeschakeld. Verder wordt bedrijven aangeraden om te upgraden naar de RV132W, RV160, of RV160W routers die nog wel beveiligingsupdates ontvangen. In januari waarschuwde Cisco nog voor 61 kwetsbaarheden die in de RV110W, RV130, RV130W en RV215W aanwezig zijn. Voor zover bekend zijn er nog geen exploits die misbruik van CVE-2021-145 maken.

Reacties (10)
08-04-2021, 17:34 door Anoniem
Misschien hadden ze die eerst even moeten oplossen voordat hun producten "end-of-life" konden worden betiteld?
Lijkt meer alsof ze niet meer die degelijke Cisco zijn met doortimmerde en pas uitontwikkelde producten de markt op brengen, waarvoor ze te boek stonden.
08-04-2021, 18:41 door Briolet
Ik vind het wel heel verwarrende berichten over ondersteuning door Cisco. Op de technische pagina voor de RV110W

https://www.cisco.com/c/nl_nl/support/routers/rv110w-wireless-n-vpn-firewall/model.html

staat een datum voor het einde van support van 30 november 2024. Dat duurt dus nog een aantal jaren. Wat houdt dan een support in als er geen bugfixes voor zo'n product meer komen?

En ik lees er ook in dat ze nog tot 15 maand geleden verkocht werden. Dan mag je toch wel een iets langere ondersteuning verwachten met software updates bij een nieuw gekocht product.
08-04-2021, 21:04 door Anoniem
#Cisco Sheep

Tering veel betalen voor een ruk product want "amerikaans en bekend".
08-04-2021, 22:57 door Anoniem
Door Anoniem: Misschien hadden ze die eerst even moeten oplossen voordat hun producten "end-of-life" konden worden betiteld?
Lijkt meer alsof ze niet meer die degelijke Cisco zijn met doortimmerde en pas uitontwikkelde producten de markt op brengen, waarvoor ze te boek stonden.

Dit doet microsoft toch ook.
09-04-2021, 00:30 door Anoniem
Betrouwbaar tot het uit de doos gehaald wordt en garantie tot de deur van de webshop.

Wat is er op dit ogenblik nog te vertrouwen?
Je vertrouwt je eigen zinnen af en toe toch niet meer bij wat je meemaken moet.

De wereld staat al meer dan veertien maanden volledig op zijn kop.
En het wordt steeds erger en er niet veel beter op.

Het wordt de aarde zoals Silicon Big Tech het bedacht heeft en wenst.
Op naar de Singulariteit. Einde aan de op koolstof rustende analoge wereld.
Opruimen die boel. Tenminste het grootste deel. Welcome to global zombie-town.

We gaan allemaal in de ramsj, mensen. De duvel heeft nu echt zijn globale kraampje opgericht.
Ik ga maar even "duiken". Wie ziet er de symptomen niet en is ongevoelog voor de kwaal?

Joris Goedbloed
09-04-2021, 10:53 door Anoniem
Door Briolet: Ik vind het wel heel verwarrende berichten over ondersteuning door Cisco. Op de technische pagina voor de RV110W

https://www.cisco.com/c/nl_nl/support/routers/rv110w-wireless-n-vpn-firewall/model.html

staat een datum voor het einde van support van 30 november 2024. Dat duurt dus nog een aantal jaren. Wat houdt dan een support in als er geen bugfixes voor zo'n product meer komen?

Ik denk dat ze bedoelen dat je nog tot 2024 naar een vriendelijke maar moeilijk verstaanbare callcenter medewerker mag bellen met je vragen over hoe je zo'n ding configureert? Natuurlijk alleen als je daarvoor een contract hebt afgesloten.

Het verbaast me regelmatig dat dit soort "grote merken" kennelijk niet in staat zijn om een firmware bouwstraat draaiend te houden waarin ze patches kunnen backporten en nieuwe images bouwen. Dat moet toch in deze tijd niet zo'n toer zijn. En ze gaan mij niet wijsmaken dat ze iedere keer van 0 af beginnen met die firmware, dus die bug zit natuurlijk in diverse generaties en wordt dan op een gegeven moment gefixed. Beetje lame om dan niet een firmware release te doen voor een 2 jaar oud apparaat...

Als Huawei dit zou flikken zou het hier te kort en daar te breed zijn, maar als Cisco zo werkt dan is het ineens allemaal normaal en begrijpelijk. Terwijl er toch weinig bedrijven zijn die hun klanten zo efficient uitknijpen als Cisco doet.
09-04-2021, 11:55 door Anoniem
Cisco is al end of support op het moment dat je het koopt.
Vooral gebruikers van de asa5500 series zullen dat beamen.
Maar ook de eerste Nexus gebruikers en de eerste 6500 gebruikers werden met een kluitje het riet ingestuurd nadat er security en geheugen issues optraden. En dan heb ik het nog niet gehad over intel processor timer tijdbom bug
09-04-2021, 19:00 door Anoniem
Door Anoniem: Misschien hadden ze die eerst even moeten oplossen voordat hun producten "end-of-life" konden worden betiteld?
Lijkt meer alsof ze niet meer die degelijke Cisco zijn met doortimmerde en pas uitontwikkelde producten de markt op brengen, waarvoor ze te boek stonden.
Cisco teert inderdaad nog sterk op hun naam, het is al lang niet meer wat het was...
09-04-2021, 20:36 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Misschien hadden ze die eerst even moeten oplossen voordat hun producten "end-of-life" konden worden betiteld?
Lijkt meer alsof ze niet meer die degelijke Cisco zijn met doortimmerde en pas uitontwikkelde producten de markt op brengen, waarvoor ze te boek stonden.

Dit doet microsoft toch ook.

...en waarom moet Microsoft er nu weer bijgesleept worden ?

Te meer is het een onzinnige opmerking want Microsoft produceert geen hardware.

Goed, jij wil Microsoft er met de haren bij slepen? Nou vooruit dan: Als je de Operating Systems vergelijkt steekt Microsoft qua levensduur tot EOL met kop en schouders boven álle concurrentie uit.
Voorbeeldjes?
Mac OSX 10.6. Hoewel de EOL cyclus door Apple niet wordt gehanteerd was dat feitelijk 2 jaar, en wel van 2009 tot 2011 bij introductie van OSX 10.7
Dan Windows 7. Kwam ook uit in 2009 en is met safety patches ondersteund tot januari 2020, bijna 11 jaar!

Steek maar van wal met ontkenningen en.... voordat ik het vergeet: Mainstream gebruik ik niets meer van Microsoft en Apple. Uitsluitend Linux.
10-04-2021, 11:38 door Anoniem
Door Staewoldt:
Te meer is het een onzinnige opmerking want Microsoft produceert geen hardware.

Dat is een onzinnige opmerking want Microsoft produceert WEL hardware:
https://www.microsoft.com/accessories/nl-nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.