Cisco waarschuwt voor vpn-lek in niet meer ondersteunde routers
Cisco heeft opnieuw gewaarschuwd voor een kwetsbaarheid in verschillende niet meer ondersteunde routers en roept klanten wederom op om de apparaten te vervangen. Het beveiligingslek (CVE-2022-20923) bevindt zich in het onderdeel van de Cisco RV110W-, RV130-, RV130W- en RV215W-routers waarmee gebruikers toegang tot het vpn-netwerk van bijvoorbeeld hun organisatie kunnen krijgen.
De router laat organisaties een IPSec vpn-server opzetten. Een kwetsbaarheid in het algoritme dat de vpn-wachtwoorden van gebruikers controleert zorgt ervoor dat een aanvaller via zelfgecreëerde inloggegevens op de vpn-server van de router kan inloggen en zo toegang tot het vpn-netwerk kan krijgen. Daarbij is het ook mogelijk om als beheerder in te loggen.
De betreffende routers zijn echter end-of-life en worden dan ook niet meer met beveiligingsupdates ondersteund. Cisco roept organisaties op om naar een wel ondersteunde router te migreren. Sinds 2021 heeft Cisco geregeld gewaarschuwd voor tientallen kwetsbaarheden in de vier bovengenoemde routers die niet meer zullen worden verholpen. Afgelopen juni ging het nog om een kritiek beveiligingslek dat het mogelijk maakt om de routers over te nemen.
Dan hadden ze toch net zo goed een Linksys kunnen kopen of een Huawei?
Met een dergelijke grote naam verwacht je juist dat als er problemen zijn, die worden opgelost. Niet dat voortdurende
duiken achter "maar deze ondersteunen we niet meer". Waar betaal je anders dat extra geld voor?
Hopelijk leren die klanten ervan en vervangen ze hun router door een ander merk dan Cisco...
Dan hadden ze toch net zo goed een Linksys kunnen kopen of een Huawei?
Met een dergelijke grote naam verwacht je juist dat als er problemen zijn, die worden opgelost. Niet dat voortdurende
duiken achter "maar deze ondersteunen we niet meer". Waar betaal je anders dat extra geld voor?
Hopelijk leren die klanten ervan en vervangen ze hun router door een ander merk dan Cisco...
Het eerste model dat ik opzoek: https://www.cisco.com/c/en/us/products/collateral/routers/small-business-rv-series-routers/eos-eol-notice-c51-738249.html. End of life announcement date: eind 2016. En dan klagen dat je zo'n oud model nog hebt staan en dat je geen support meer hebt "want daar betaal ik toch voor"? Nee, daar betaal je helemaal niet voor, want de support is officieel al heel lang opgehouden. Vind je het allemaal te duur? Dan had je geen Cisco moeten kopen.
Op een gegeven moment is het over en uit en dien je mee te gaan met de nieuwe ontwikkelingen. En niet 6 jaar in het verleden blijven hangen.
Je kunt wel bezig blijven met support op modellen die in alle opzichten niet meer voldoen aan de hedendaagse standaarden en veiligheidstechnieken, maar eens houdt het op. Als je doelbewust het risico blijft nemen om gehacked te worden met zo'n oud, onveilig model, dan klopt er iets niet aan je risico-analyses. Je hebt neem ik aan toch ook geen Windows XP meer draaien?
Op een gegeven moment is het over en uit en dien je mee te gaan met de nieuwe ontwikkelingen. En niet 6 jaar in het verleden blijven hangen.
Je kunt er dan beter voor kiezen om een merk te kopen wat wel long time support voor hardware biedt.
Er is zat te koop in dit soort apparatuur, en er zijn fabrikanten die wel achter hun oude spullen blijven staan nadat ze
voor het laatst verkocht zijn.
Op een gegeven moment is het over en uit en dien je mee te gaan met de nieuwe ontwikkelingen. En niet 6 jaar in het verleden blijven hangen.
Je kunt er dan beter voor kiezen om een merk te kopen wat wel long time support voor hardware biedt.
Er is zat te koop in dit soort apparatuur, en er zijn fabrikanten die wel achter hun oude spullen blijven staan nadat ze
voor het laatst verkocht zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
