image

Cisco: fabrikant negeert lek waardoor mobiele M2M-router is te kapen

donderdag 12 oktober 2023, 14:00 door Redactie, 2 reacties

Onderzoekers van Cisco hebben in een mobiele M2M-router van Yifan meerdere kritieke kwetsbaarheden gevonden waardoor het apparaat op afstand is over te nemen, maar de fabrikant heeft nadat het drie maanden geleden werd ingelicht nog altijd geen beveiligingsupdates uitgebracht. Daarop heeft Cisco nu de details van de beveiligingslekken openbaar gemaakt.

De YF325 is een machine-2-machine (M2M) mobiele router voorzien van wifi en simkaart. Volgens Yifan wordt het apparaat voor allerlei M2M-toepassingen gebruikt, zoals kassasystemen, watervoorziening, weermetingen, smart grid, industriële automatisering alsmede het Internet of Things (IoT). De router blijkt dertien kwetsbaarheden te bevatten. Het gaat onder andere om CVE-2023-24479, waardoor een aanvaller de inloggegevens van de beheerder kan aanpassen en vervolgens rootrechten kan krijgen.

Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen. De impact van de meeste kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Yifan werd begin juli over de problemen ingelicht, maar heeft nog altijd nagelaten updates uit te brengen.

Reacties (2)
12-10-2023, 18:52 door Anoniem
Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen.

Foei! Gelukkig doet Cisco dat zelf nooit!
13-10-2023, 16:29 door Anoniem
Door Anoniem:
Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen.

Foei! Gelukkig doet Cisco dat zelf nooit!

Inderdaad, je betaalt de hoofdprijs voor de Cisco apparatuur zodat dit soort ongein betaald kan worden maar Cisco zelf alle apparatuur (gratis) patchen ho maar!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.