SonicWall waarschuwt voor ransomware-aanval tegen end-of-life apparaten
Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties die van kwetsbare end-of-life apparaten gebruikmaken voor een naderende ransomware-aanval. Volgens het bedrijf maken aanvallers misbruik van een bekende kwetsbaarheid in Secure Mobile Access (SMA) 100 series en Secure Remote Access (SRA) producten met kwetsbare en niet meer ondersteunde firmware.
Het gaat onder andere om de SSL-VPN 200/2000/400 (end-of-life sinds 2013/2014), SRA 4200/1200 (end-of-life sinds 2016) en SRA 4600/1600 (end-of-life sinds 2019). De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Ook de SRA-producten bieden remote toegang tot bedrijfsnetwerken. SonicWall adviseert organisaties die nog met deze apparaten werken om ze meteen los te koppelen en wachtwoorden te resetten.
In het geval van de SMA 400/200 en SMA 210/410/500v worden deze apparaten nog wel ondersteund en moeten organisaties naar een nieuwere firmwareversie updaten. Bedrijven die geen maatregelen treffen lopen een groot risico om slachtoffer van een gerichte ransomware-aanval te worden, aldus SonicWall. Beveiligingsonderzoeker Kevin Beaumont laat weten dat het gebruik van end-of-life apparaten die niet meer met patches worden ondersteund binnen veel it-omgevingen vrij gewoon is.
Wanneer een leverancier besluit een product te End-Of-Life-en, dan heeft dat vaak meer te doen met winstbejag dan met functionaliteit, immers de producten worden vaak nog steeds massaal gebruikt tegen de tijd dat de fabrikant al besloten heeft het product niet meer te ondersteunen.
Een kennelijke fout die het product open stelt voor een ransomware aanval is duidelijk een ondeugdelijk product en dit product was al ondeugdelijk toen het verkocht EN gesupport werd.
Duidelijk een fout van de leverancier.
Daarom stel ik dat een leverancier een product mag EOL-en, maar verplicht is patches te blijven leveren indien er lekken onstaat die duidelijk een productie-fout zijn. Of ze moeten verplicht worden dit probleem op te lossen, bijvoorbeeld door het meest recente product te leveren indien ze geen zin hebben om het oude product te herstellen naar de kwaliteit die ze beloofden toen het product geleverd werd.
Ik ben beniewd hoeveel leveranciers dan nog zullen zeggen dat na 16 maanden hun product al EOL is.
En het is gewoon mogelijk, bijvoorbeeld HPE of Aruba levert producten gewoon met (hele lange) garantie....
Ding stuk of kan niet meer gerepareerd worden? Krijg je een gelijkwaardig NIEUW model.
Ik heb regelmatig de oogballen van Cisco vriendjes-ICT managers gezien wanneer ze een Cisco product gekocht hebben voor een factor 10 duurder, dan nog support moeten betalen elke jaar voor 1/3 van de aanschafprijs en dan na soms 16 maanden al te horen krijgen dat hun product niet meer onder support valt.
Zeker wanneer ergens in de krochten van hun bedrijf nog een oude HPE switch staat die na blikseminslag of een UPS failure uitgefikt is en vervolgens binnen 8 uur vervangen is door een hagelnieuwe Aruba ZONDER KOSTEN!
Nou is Sonicwall niet meer een product wat ik zonder handschoenen aan raak omdat het tegenwoordig echte rommel is maar clubjes als deze zouden dit ook zonder probleem moeten kunnen doen.
"End-of-life apparaten zijn kwetsbaar."
Wanneer een leverancier besluit een product te End-Of-Life-en, dan heeft dat vaak meer te doen met winstbejag dan met functionaliteit, immers de producten worden vaak nog steeds massaal gebruikt tegen de tijd dat de fabrikant al besloten heeft het product niet meer te ondersteunen.
Een kennelijke fout die het product open stelt voor een ransomware aanval is duidelijk een ondeugdelijk product en dit product was al ondeugdelijk toen het verkocht EN gesupport werd.
Duidelijk een fout van de leverancier.
Daarom stel ik dat een leverancier een product mag EOL-en, maar verplicht is patches te blijven leveren indien er lekken onstaat die duidelijk een productie-fout zijn. Of ze moeten verplicht worden dit probleem op te lossen, bijvoorbeeld door het meest recente product te leveren indien ze geen zin hebben om het oude product te herstellen naar de kwaliteit die ze beloofden toen het product geleverd werd.
Ik ben beniewd hoeveel leveranciers dan nog zullen zeggen dat na 16 maanden hun product al EOL is.
En het is gewoon mogelijk, bijvoorbeeld HPE of Aruba levert producten gewoon met (hele lange) garantie....
Ding stuk of kan niet meer gerepareerd worden? Krijg je een gelijkwaardig NIEUW model.
Ik heb regelmatig de oogballen van Cisco vriendjes-ICT managers gezien wanneer ze een Cisco product gekocht hebben voor een factor 10 duurder, dan nog support moeten betalen elke jaar voor 1/3 van de aanschafprijs en dan na soms 16 maanden al te horen krijgen dat hun product niet meer onder support valt.
Zeker wanneer ergens in de krochten van hun bedrijf nog een oude HPE switch staat die na blikseminslag of een UPS failure uitgefikt is en vervolgens binnen 8 uur vervangen is door een hagelnieuwe Aruba ZONDER KOSTEN!
Nou is Sonicwall niet meer een product wat ik zonder handschoenen aan raak omdat het tegenwoordig echte rommel is maar clubjes als deze zouden dit ook zonder probleem moeten kunnen doen.
Snap je frustratie.
Maar hoe vaak gebeurt het niet dat er allang een nieuwe firmware is en deze gewoon nooit wordt geïnstalleerd.
Is de fabrikant dan nog steeds aansprakelijk ?
Je product EOL verklaren mag je niet ontslaan van de verplichting om security updates uit te brengen of anderszins
de security van de klant te waarborgen.
Ehm.... of je vervangt dat ding gewoon op het moment dat hij EOL. Het is niet voor niets End of Life.
Jij zoekt een manier of voordelig gebruik te maken van een hardware refresh, die bieden de meeste leveranciers gewoon.
Je product EOL verklaren mag je niet ontslaan van de verplichting om security updates uit te brengen of anderszins
de security van de klant te waarborgen.
Een voor de SRA 4600/1600 (end-of-life sinds 2019) maar:
SSL-VPN 200/2000/400 en SRA 4200/1200 zijn al sinds 2014/2016 EOL, het leveren van patches blijft niet eeuwig natuurlijk, je mag best stellen dat 5 jaar na EOL datum er geen updates meer komen.
Niet helemaal, EOL betekent in de meeste gevallen dat vanaf dat moment ze niet meer gemaakt worden maar de restanten nog wel in de handel liggen. (ja ik weet er zijn uitzonderingen)
Je product EOL verklaren mag je niet ontslaan van de verplichting om security updates uit te brengen of anderszins
de security van de klant te waarborgen.
Een voor de SRA 4600/1600 (end-of-life sinds 2019) maar:
SSL-VPN 200/2000/400 en SRA 4200/1200 zijn al sinds 2014/2016 EOL, het leveren van patches blijft niet eeuwig natuurlijk, je mag best stellen dat 5 jaar na EOL datum er geen updates meer komen.
de markt van security appliances. Koop dus geen SonicWall!
Je product EOL verklaren mag je niet ontslaan van de verplichting om security updates uit te brengen of anderszins
de security van de klant te waarborgen.
Een voor de SRA 4600/1600 (end-of-life sinds 2019) maar:
SSL-VPN 200/2000/400 en SRA 4200/1200 zijn al sinds 2014/2016 EOL, het leveren van patches blijft niet eeuwig natuurlijk, je mag best stellen dat 5 jaar na EOL datum er geen updates meer komen.
Eens, je kan niet verlangen dat producten eeuwig gesupported worden. Maar je kan wel wat richtlijnen opstellen, bijvoorbeeld:
- Voor producten < €5.000,- tenminste zes jaar support vanaf de datum dat het product op de markt is gekomen én tenminste drie jaar support nadat het laatste product verkocht is (ofwel uit de verkoop is gehaald).
- Voor producten > €5.000,- zoals auto's en producten die voor langdurig gebruik bedoeld zijn, denk bijvoorbeeld aan inbouwapparatuur in keukens, tenminste 12 jaar support vanaf de datum dat het product in de markt is gezet én tenminste 6 jaar nadat het product uit de verkoop is gehaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
