D-Link adviseert end-of-life router met kritieke beveiligingslekken te vervangen
D-Link heeft eigenaren van een DIR-846W wifi-router opgeroepen om het apparaat te vervangen, aangezien dit een risico voor aangesloten apparatuur kan zijn. De router bevat verschillende kritieke kwetsbaarheden waardoor het apparaat op afstand is over te nemen. Aangezien de DIR-846W al vier jaar end-of-life is zullen er geen updates verschijnen om de beveiligingslekken te verhelpen.
Hoewel de router al sinds begin 2020 niet meer wordt ondersteund bracht D-Link onlangs wel een beveiligingsbulletin voor de DIR-846W uit. Daarin wordt gewaarschuwd voor vier kwetsbaarheden, waaronder twee die als kritiek zijn aangemerkt (CVE-2024-44341 en CVE-2024-44342). Via deze twee beveiligingslekken kan een aanvaller op afstand OS-commando's op het apparaat uitvoeren. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Aangezien de router niet meer met beveiligingsupdates wordt ondersteund raadt D-Link'ten zeerste' aan om die te vervangen en waarschuwt dat verder gebruik van het product risico's met zich meebrengt voor apparaten die ermee verbonden zijn.
Als het bijv. acht jaar later is snap ik wel waarom ze het niet meer ondersteunen.
Simpel.
D-Link is niet verplicht om een alternatieve FW aan te bevelen aan hun gebruikers.
Ten tweede... er is geen openwrt FW voor dit apparaat. Wel voor de 842.
De woorden 'End-Of-Life' geven toch wel een aardig hint om een apparaat te vervangen ;-)
Ik vind het een beetje een melding voor de buhne. Elk bedrijf zal willen dat alle EoL apparaten niet meer gebruikt worden omdat ze aan het einde van hun leven zijn en er dus geen onderhoud meer plaatsvindt.
Als het bijv. acht jaar later is snap ik wel waarom ze het niet meer ondersteunen.
Als het bijv. acht jaar later is snap ik wel waarom ze het niet meer ondersteunen.
En device zonder bewegende delen, tenzij er slechte kwaliteit condensatoren zijn gebruikt is de levensduur van de hardware 20-40 jaar
Als het bijv. acht jaar later is snap ik wel waarom ze het niet meer ondersteunen.
En dit is nu precies waar de Cyber Resilience Act (CRA) voor bedoeld is. Deze richtlijn is nog niet van kracht, maar zodra dat wel het geval is, kunnen fabrikanten niet meer al te makkelijk onder het motto 'end of life' hun verantwoordelijkheid afschuiven. Ja.... ook onder deze wet gaat apparatuur ooit end-of-life, maar het draaien van productie, verkopen en een jaar later zeggen: 'sorry, maar dat ondersteunen wij niet meer' is dan gelukkig afgelopen.
https://www.rijksoverheid.nl/actueel/nieuws/2023/12/01/europees-akkoord-veiligheidseisen-en-standaarden-voor-alle-digitale-producten
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
