image

Cisco zal lek dat overname end-of-life routers mogelijk maakt niet patchen

donderdag 16 juni 2022, 12:46 door Redactie, 13 reacties

Cisco zal een kritieke kwetsbaarheid waardoor het voor een aanvaller mogelijk is om op afstand volledige controle over verschillende modellen routers te krijgen niet patchen. De apparaten zijn namelijk end-of-life (pdf). Het gaat om de Cisco Small Business RV110W, RV130, RV130W en RV215W vpn-routers.

Het beveiligingslek, aangeduid als CVE-2022-20825, wordt veroorzaakt door het onvoldoende valideren van inkomende http-packets. Door het versturen van een speciaal geprepareerd request naar de beheerdersinterface kan een aanvaller willekeurige commando's op de router met rootrechten uitvoeren.

De beheerdersinterface van de betreffende routers is toegankelijk vanaf een LAN-verbinding die niet is uit te schakelen. In het geval remote management staat ingeschakeld is de interface ook toegankelijk vanaf het internet. Standaard is dat echter niet het geval. Cisco adviseert klanten die nog van de routers gebruikmaken om over te stappen naar een apparaat dat nog wel wordt ondersteund.

Reacties (13)
16-06-2022, 13:36 door Anoniem
Je kunt ook een ander merk kopen. Let dan even op hoe men omgaat met software support van (zelfs) end-of-life routers.
16-06-2022, 14:29 door Anoniem
Door Anoniem: Je kunt ook een ander merk kopen. Let dan even op hoe men omgaat met software support van (zelfs) end-of-life routers.

Dat is bijzonder lastig te vinden , of een vendor ook na EOL datum eventueel nog wat doet - maar je moet voor post-EOL support beslist geen hoge verwachtingen hebben van welke leverancier dan ook.

Ook niet trouwens van de patch-bereidheid van klanten die EOL devices nog steeds "actief in productie" draaien. Dat zijn zelden plaatsen waar ze dan wel enorm actief patchen.
16-06-2022, 14:34 door _R0N_
Tja end-of-life is end-of-life, je krijgt niet eeuwig updates.
16-06-2022, 14:45 door Anoniem
Tja daarom hebben ze het lek er toch ook in gezet.
16-06-2022, 15:37 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt ook een ander merk kopen. Let dan even op hoe men omgaat met software support van (zelfs) end-of-life routers.

Dat is bijzonder lastig te vinden , of een vendor ook na EOL datum eventueel nog wat doet - maar je moet voor post-EOL support beslist geen hoge verwachtingen hebben van welke leverancier dan ook.

Neem bijvoorbeeld MikroTik. Die brengen niet per device een aparte firmware uit, maar releasen dezelfde firmware
slechts in een paar varianten voor de CPU architectuur en daarin zit per architectuur gewoon de support voor alle
devices die ze ooit verkocht hebben. Dus een nieuwe versie die vandaag wordt uitgebracht werkt ook nog gewoon
op de devices die ze 15 jaar geleden voor het laatst maakten.
Er zal ooit wel een moment komen dat er geen updates meer komen voor bepaalde CPU architecturen en daarmee
voor een bepaalde groep devices, ja. Maar niet zoals bij andere merken "die verkopen we al 3 jaar niet meer dus
einde software support".
16-06-2022, 16:23 door Anoniem
Cisco Small Business RV110W heeft wel een limited lifetime hardware warranty.
Dus hier schrik ik dan ook wel van
16-06-2022, 16:32 door Anoniem
Door Anoniem: Tja daarom hebben ze het lek er toch ook in gezet.

Doe 's een link naar jouw bugvrije code op github ?
16-06-2022, 20:27 door Anoniem
het product wordt verkocht met verplichte software, de software is lek, dus het product voldoet niet, dus ja, cisco moet het fixen.
16-06-2022, 23:31 door Anoniem
Door Anoniem: het product wordt verkocht met verplichte software, de software is lek, dus het product voldoet niet, dus ja, cisco moet het fixen.

Kansloze nerd juristiek . Pak je portemonnee en ga proceduren, als je je eigen verhaal gelooft.

Voldoet prima - het routeert , en verder - gewoon EOL == "versleten" . Een pak melk dik voorbij de uiterste houdbaarheidsdatum mag ook zuur zijn in je koelkast - het mag alleen niet meer verkocht worden, maar als jij het zelf bewaart heb je geen recht van klagen meer .
17-06-2022, 10:31 door Anoniem
Die RV130W is volgens Tweakers verkocht tot zo ongeveer maart 2020 (en volgens hen in mei 2019 geintroduceerd maar dat lijkt niet te kloppen met wat Cisco er over schrijft want de datasheet is gedateerd in 2016), ik zou het toch wel snel vinden als dan in juni 2022 een criticical vulnerability niet meer gefixed wordt "wegens end of life".
Dat zou betekenen maar 2 jaar support op je aankoop, dat lijkt me in de EU niet acceptabel. In de VS wellicht wel.
17-06-2022, 11:00 door Anoniem
Door Anoniem: Die RV130W is volgens Tweakers verkocht tot zo ongeveer maart 2020 (en volgens hen in mei 2019 geintroduceerd maar dat lijkt niet te kloppen met wat Cisco er over schrijft want de datasheet is gedateerd in 2016), ik zou het toch wel snel vinden als dan in juni 2022 een criticical vulnerability niet meer gefixed wordt "wegens end of life".
Dat zou betekenen maar 2 jaar support op je aankoop, dat lijkt me in de EU niet acceptabel. In de VS wellicht wel.

Als je in maart 2020 een Cisco apparaat koopt vanvan Cisco op dat moment al en EOS en een EOL datum heeft gecommuniceerd, dan moet je daarna niet bij Cisco gaan klagen. Wellicht dat de leverancier/winkelier iets voor je wil/kan betekenen.
17-06-2022, 16:41 door Anoniem
End of Sale != End of Support, wel allebei EOS... Normaal gesproken bij Cisco 5 jaar na End-Of-Sale is het End-Of-Support.

Volgens mijn lijst
The last date to receive applicable service and support for the product as entitled by active service contracts or by warranty terms and conditions. After this date, all support services for the product are unavailable, and the product becomes obsolete**. Warranty duration is based on product ship dates; refer to warranty terms and conditions for details.

August 31, 2022

zou dit not gefixed moeten worden.
19-06-2022, 09:56 door Anoniem
Door Anoniem: Cisco Small Business RV110W heeft wel een limited lifetime hardware warranty.
Dus hier schrik ik dan ook wel van
In "limited lifetime hardware warranty" staat niet alleen "lifetime warranty", ook de woorden "limited" en "hardware" staan erin. Aan "hardware" kan je zien dat ze het niet over de software hebben die op dat apparaat draait. Aan "limited" kan je zien dat de garantie niet onbeperkt is.

Je weet dan nog niet wat de beperkingen zijn. Daarvoor moet je de voorwaarden lezen. Hier staan ze:
https://www.cisco.com/c/en/us/products/warranties/warranty-doc-c99-740619.html

De eerste alinea bevestigt meteen dat het alleen over de hardware gaat en niet over de software op het apparaat.

Direct daarna wordt uitgelegd wat "limited" betekent: het geldt alleen voor de originele koper, en alleen voor de periode dat Cisco het apparaat ondersteunt. Ze verwijzen naar de "End of Life Announcement" voor een apparaat, waarin een einddatum voor de ondersteuning en dus voor de garantie staat.

Reken jezelf dus niet rijk door alleen op woorden als "lifetime" aan te slaan, maar kijk ook naar wat minder leuk uit kan pakken, en lees even door om te achterhalen wat er precies mee bedoeld wordt. Als je dat doet dan weet je waar je aan toe bent en hoef je niet te schrikken op het moment dat de ondersteuning stopt, want dan wist je allang dat dat eraan zat te komen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.