Cisco meldt aanvallen op end-of-life vpn-routers, roept op tot vervanging
In navolging van de Amerikaanse overheid laat ook Cisco weten dat aanvallers actief misbruik maken van kwetsbaarheden in verschillende vpn-routers die end-of-life zijn. Updates zijn dan ook niet beschikbaar en het netwerkbedrijf roept klanten op die nog met de kwetsbare apparaten werken om die te vervangen.
Eén van de beveiligingslekken (CVE-2023-20118) laat een aanvaller die als admin op de managementinterface kan inloggen code als root uitvoeren. Een aanvaller die niet over admin-inloggegevens beschikt zou CVE-2023-20118 met een andere kwetsbaarheid combineren. De kwetsbare routers (RV016, RV042, RV042G, RV082, RV320 en RV325) bevatten meerdere beveiligingslekken waardoor dit mogelijk is.
Cisco kwam op 11 januari 2023 met een waarschuwing voor het beveiligingslek en liet toen ook weten geen updates uit te brengen omdat de betreffende routers niet meer worden ondersteund. Vorige week meldde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik maken van CVE-2023-20118. In een update van het beveiligingsbulletin laat nu ook Cisco weten dat het bekend is met aanvallen en roept klanten op, net als twee jaar geleden, om de apparaten door wel ondersteunde routers te vervangen.
Zonder directe kennis van die apparatuur lijkt mij aannemelijk dat de firmware en programmatuur relatief eenvoudig up-to-date te houden zouden moeten zijn als de patch processen voor de programmatuur van apparatuur en systemen die niet EOL zijn goed functioneert, waarom zou dat dan niet voor wat oudere apparatuur opgaan (tenzij RAM/CPU/enz echt niet meer voldoen). Zeker waar het hier problemen betreft in de programmatuur, in de bedrijfseigen managementinterface nota bene.
Natuurlijk, elke nieuwe release vereist het doorlopen van het hele proces met compilaties, tests en certificering dat zeker stelt dat het een en ander klopt. Die processen zijn in grote mate volledig geautomatiseerd en daardoor zijn de meerkosten voor releases op die oudere apparatuur relatief laag. Afijn: dit beleid van Cisco toont dat haar belang onevenredig meer weegt dan dat van haar klanten.
Natuurlijk, elke nieuwe release vereist het doorlopen van het hele proces met compilaties, tests en certificering dat zeker stelt dat het een en ander klopt. Die processen zijn in grote mate volledig geautomatiseerd en daardoor zijn de meerkosten voor releases op die oudere apparatuur relatief laag. Afijn: dit beleid van Cisco toont dat haar belang onevenredig meer weegt dan dat van haar klanten.
Ga je dan als leverancier met een goede naam upgrades zonder tests op de hardware uitsturen? Liever niet.
En als ze gewoon nog goed doen waar ze voor bedoeld zijn? Lekkere gedachte, het is oud dus weggooien!
Ik voer dit soort vervangingsadviezen meestal alleen uit als de adviserende partij ook de fondsen bijvoegt om de vervanging mee te bekostigen.
En als ze gewoon nog goed doen waar ze voor bedoeld zijn? Lekkere gedachte, het is oud dus weggooien!
Elektronische componenten slijten ook, vaak niet zozeer door gebruik, maar wel door opwarming.
Daarnaast blijven de ontwikkelingen ook niet stil staan en kun je niet verwachten dat een fabrikant zijn functies "on hold" zet omdat er geen hardware ondersteuning is. Security wordt constant bijgewerkt en hogere encryptie vereist simpelweg meer CPU power en geheugen.
Zie het als een auto, blijf je die old-timer die van 0-100km p/u 15 seconden er over doet en optimaal tuft bij 80km p/u.
Of koop je een moderne auto die 0-100 km p/u 9 seconden er over doet en hierdoor beter met het moderne verkeer meekan.
Die eerste (oldtimer) is voor een mooie zomerse zondag, die tweede (moderne) voor het dagelijkse verkeer.
Veel fabrikanten geven niet voor niets tot 7 jaar max verlengde garantie. Daarna is het gewoon economisch en technisch een risico.
Daar zijn ze mee gestopt dat is het hele punt. Omdat op de dag van vandaag de functionele (en technische) eisen zijn opgeschroefd. Dus je kunt niet meer mee.
Ik voer dit soort vervangingsadviezen meestal alleen uit als de adviserende partij ook de fondsen bijvoegt om de vervanging mee te bekostigen.
Aha, dus een leverancier of fabrikant gaat dus betalen voor het gebruik. Mooie gedachte... wat denk je zelf.
Dit is leuk bij een eenmalige korting als je dit bedoelt, anders zie het niet anders dan dat pappa je gaat sponseren.
Zolderkamerrealisme ?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
