Edimax: geen update voor aangevallen lek in legacy ip-camera
Edimax zal geen beveiligingsupdate ontwikkelen voor een actief aangevallen kwetsbaarheid in de Edimax IC-7100 ip-camera. Het product wordt al tien jaar lang niet meer aangeboden en de ontwikkelomgeving en broncode zijn niet meer beschikbaar. Vorige week waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik maken van een kwetsbaarheid in het apparaat. Door het versturen van speciaal geprepareerde requests kan een aanvaller op afstand code op de Edimax-camera's uitvoeren.
"De Edimax IC-7100 is een legacy product dat al meer dan tien jaar niet meer wordt aangeboden, en de technische ondersteuning en firmware-onderhoud zijn officieel stopgezet. Vanwege het niet meer beschikbaar zijn van de ontwikkelomgeving en broncode, moeten we helaas mededelen dat er geen beveiligingspatch of firmware-update voor dit product geboden kan worden", aldus de fabrikant. Die adviseert gebruikers die nog met de ip-camera werken om die niet direct aan internet te hangen, het standaard admin-wachtwoord te wijzigen en geregeld de toegangslogs te bekijken.
Maar als een ontwikkel omgeving niet meer beschikbaar is, snap ik het heel erg goed dat dat niet meer lukt.
Als bedrijf redenerende heeft apparatuur een afschrijftermijn van 5 jaar. 10 jaar of langer is over het algemeen voor onroerende zaken. Het is simpelweg slecht beleid om camera's (of wat voor apparatuur) langer dan dat te gebruiken. Het argument "maar hij doet het nog prima" gaat niet perse op. Er zitten onderhoudscontracten op apparatuur die na 5 jaar vaak of niet meer verlengd kunnen worden; of een veelvoud gaan kosten. Daarnaast moet je je afvragen of er niet veel verbeteringen in techniek zijn geweest in die 10 jaar, denk aan resolutie van 720P ten opzichte van 4K, H265 compressie in plaats van MJPEG. Daarnaast is een camera van 2000 euro van 10 jaar geleden nu nieuw misschien nog maar 250 euro.
Nog los van het feit dat je vanuit kwetsbaarheden niet met te oude apparatuur wil werken.
Tot je een aanrijding krijgt met een 2,5 ton wegende EV die tot aan zijn dak vol zit met Airbags en veiligheidssystemen. Jij ligt in de kreukels; de bestuurder van de EV hoeft alleen even zijn neus te snuiten en een schone onderbroek aan te doen. Voordeel is wel dat de EV dan voor jou even 112 belt; aangezien je dat zelf waarschijnlijk niet meer zo goed kan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
