image

Cisco waarschuwt voor kritiek lek in vpn-routers dat het niet zal patchen

woensdag 11 januari 2023, 17:37 door Redactie, 26 reacties

Cisco waarschuwt organisaties en bedrijven voor een kritieke kwetsbaarheid in verschillende vpn-routers die het niet zal patchen, aangezien de apparaten end-of-life zijn en niet meer met beveiligingsupdates worden ondersteund. Het gaat om de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb.

Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen.

Aangezien de routers end-of-life zijn zal Cisco geen updates uitbrengen om het probleem te verhelpen. Wel adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. Een andere genoemde oplossing is de overstap naar een nieuwe router.

Reacties (26)
11-01-2023, 19:17 door Anoniem
cisco mkb spul heeft de kwaliteit en de life cycle van een oude deawoo en de prijs van een kia stinger
11-01-2023, 20:55 door Anoniem
"Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...
11-01-2023, 21:32 door Hyper
Door Anoniem: cisco mkb spul heeft de kwaliteit en de life cycle van een oude deawoo en de prijs van een kia stinger
U bent toe aan een Daewoo.
11-01-2023, 21:35 door Hyper
Het laatste wat je wilt als kleinbedrijf is een niet-ondersteunde router met kwetsbaarheden. Misschien is het beter om Cisco dan maar links te laten liggen en een router te nemen van je internet of netwerkprovider die door hen up-to-date gehouden wordt. De meeste kleine bedrijven hebben geen eigen systeembeheerder in dienst om dit zelf te onderhouden.
11-01-2023, 22:53 door Anoniem
Door Hyper: Het laatste wat je wilt als kleinbedrijf is een niet-ondersteunde router met kwetsbaarheden. Misschien is het beter om Cisco dan maar links te laten liggen en een router te nemen van je internet of netwerkprovider die door hen up-to-date gehouden wordt. De meeste kleine bedrijven hebben geen eigen systeembeheerder in dienst om dit zelf te onderhouden.
Punt is natuurlijk dat bedrijven wellicht extra functies willen (het gaat hier kennelijk om "vpn-routers") die de standaard router van je internet provider niet biedt of niet voldoende biedt.
Men zet er dan een andere router in. Maar in tegenstelling tot wat fabrikanten denken zitten gebruikers meestal niet de hele tijd in het denkpatroon "oh het is end-of-life? nou dan moeten we het vervangen!".
Vervangen is wellicht ook niet eens heel simpel, want dan moet de configuratie ook nog overgezet worden.
Het is dan ook een goed idee om een fabrikant te kiezen met een gemeenschappelijk softwareplatform voor alle routers, wat ze blijven onderhouden onafhankelijk van de lifetime van specifieke devices.
12-01-2023, 07:57 door Bitje-scheef
Door Anoniem: cisco mkb spul heeft de kwaliteit en de life cycle van een oude deawoo en de prijs van een kia stinger

Nah dit soort merken zijn Cisco in het mkb voorbij vrees ik qua kwaliteit en garantie.
12-01-2023, 08:04 door Anoniem
De diep trieste life cycle van Cisco en verandering in ondersteuning tijdens de life cycle, heeft ons al doen bewegen om geen Cisco producten meer aan te schaffen en over te stappen op andere merken.
12-01-2023, 08:34 door Nova
Cisco zou het gewoon kunnen updaten als het een beveiligingsissue is, waarom kan bijvoorbeeld openwrt het wel en werkt veelal ook nog op oudere routers.
Een fijne dag!
12-01-2023, 08:42 door Anoniem
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Ja je kan natuurlijk ook niet altijd alles voor eeuwig blijven ondersteunen, de "end-of-life announcement date" was 5 november 2014 voor de RV016, dan mag je toch ook wel eens een keertje overstappen naar iets nieuws mijns inziens.
12-01-2023, 08:58 door Anoniem
De RV082 word nog steeds verkocht door aios.be, de RV042 is iets meer dan een jaar uit de handel (volgens tweakers pricewatch laatste datum 21 nov 2021). Wat een service van Cisco, bravo. Ondersteuning tot aan de deur.
12-01-2023, 09:00 door Anoniem
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Wat dacht je dat de betekenis van "end of life" was? Einde, over, uit, al jaren en jaren niet meer de juiste router. MAar ja, het is maar IT, en daarom zitten we ook nog met Windows XP opgezadeld. Liever het risico lopen op inbraken dan voor een paar honderd euro een fatsoenlijk model aanschaffen. Doe je dat ook bij de sloten op je voordeur?
12-01-2023, 09:10 door Anoniem
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...
Waarom moet een fabrikant updates leveren voor software die end of life /uit support is ?
12-01-2023, 10:27 door Anoniem
Door Anoniem: De RV082 word nog steeds verkocht door aios.be, de RV042 is iets meer dan een jaar uit de handel (volgens tweakers pricewatch laatste datum 21 nov 2021). Wat een service van Cisco, bravo. Ondersteuning tot aan de deur.
RV016 was in 2015 end of life. RV082 was in 2016 end of life. RV042 en RV042G waren begin 2020 end of life. En maanden voor producten end of life zijn is er een end of sale voor de laatste orders.

Dat opportunistische ondernemers apparatuur die end of sale is nog probeert te verkopen zegt meer over die ondernemer dan over cisco. En sinds bijna iedereen zonder ervaring ondernemertje kan spelen is het hoe dan onverstandig om geen navraag te doen hoe lang die apparatuur nog ondersteuning heeft en op welke officiele informatie ze dat baseren. Je als ondernemer verschuilen achter gebrek aan handelskennis maar wel risico nemen in de hoop op een lucratieve koop valt niet te rijmen.
12-01-2023, 10:41 door Anoniem
Door Anoniem:
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Ja je kan natuurlijk ook niet altijd alles voor eeuwig blijven ondersteunen

Leg dan eens even duidelijk en met argumenten onderbouwd uit waarom dat niet kan!
Het is afhankelijk van beslissingen die je neemt bij je software ontwerp. Tegenwoordig draaien de meeste routers Linux,
en je kunt dezelfde software draaien op al je routers. Als er een andere CPU in zit moet je een paar verschillende
binaries compileren en op je site zetten, maar de componenten waar nu problemen mee zijn die kun je gewoon bij al
je routers gelijk houden, 1 keer onderhouden, 1 keer releasen voor al je routers.
Helemaal niet nodig om apart onderhoud te doen voor verschillende types, en kleine moeite om een build service
te bouwen die alle binaries aanmaakt als er ergens wat aangepast is.

Nee, het heeft NIETS te maken met "je kunt niet", het is puur en alleen een commercieel gemotiveerd "we WILLEN niet".
12-01-2023, 10:43 door Anoniem
Door Anoniem:
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Wat dacht je dat de betekenis van "end of life" was? Einde, over, uit, al jaren en jaren niet meer de juiste router.

Dat is juist de denkwijze die ik ongewenst vind, en waar jij je kennelijk al helemaal bij hebt neergelegd.
Planned obsolescence, we prikken een datum waarop uw apparaat naar de milieustraat kan en u naar de winkel mag
om weer geld neer te leggen voor ons.
Er is met die hardware niks mis, die chips zijn prima, het is puur DE FABRIKANT die besloten heeft "we verkopen dit
niet meer dus kunnen we net zo goed onze handen er vanaf trekken". Een mentaliteit, geen noodzakelijke situatie.
12-01-2023, 10:48 door Anoniem
eigenlijk is het dus een ondeugdelijk product geweest met 'hidden faults'... dus in principe zou een class-action suite geld moeten kunnen opbrengen...
en ipv geld vraag je dan alsnog een patch voor jouw hardware.
12-01-2023, 10:52 door Anoniem
Door Anoniem:
Waarom moet een fabrikant updates leveren voor software die end of life /uit support is ?[/quote]Dat is waarschijnlijk de reactie van een ondernemer die meent dat de vrijheden van ondernemen er alleen zijn voor het eigen voordeel en niet voor andere ondernemers. En als ondernemer dan denkt dit soort eigen arrogantie en onkunde te kunnen hebben door ongegeneerd te gaan klagen dat het aan anderen ligt.
12-01-2023, 14:16 door Tintin and Milou
Door Anoniem:
Door Anoniem:
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Wat dacht je dat de betekenis van "end of life" was? Einde, over, uit, al jaren en jaren niet meer de juiste router.

Dat is juist de denkwijze die ik ongewenst vind, en waar jij je kennelijk al helemaal bij hebt neergelegd.
Planned obsolescence, we prikken een datum waarop uw apparaat naar de milieustraat kan en u naar de winkel mag
om weer geld neer te leggen voor ons.
Er is met die hardware niks mis, die chips zijn prima, het is puur DE FABRIKANT die besloten heeft "we verkopen dit
niet meer dus kunnen we net zo goed onze handen er vanaf trekken". Een mentaliteit, geen noodzakelijke situatie.
Misschien heb jij zojuist een mooie business case bedacht voor een mooi bedrijfsplan. Misschien moet je eens langs de KVK gaan?
12-01-2023, 16:13 door Anoniem
Door Anoniem: De RV082 word nog steeds verkocht door aios.be, de RV042 is iets meer dan een jaar uit de handel (volgens tweakers pricewatch laatste datum 21 nov 2021). Wat een service van Cisco, bravo. Ondersteuning tot aan de deur.
Ik denk niet dat je daar Cisco op aan moet kijken maar die webwinkel, die moet hem niet meer verkopen. Daar staat hij trouwens als Linksys RV082. Linksys is van 2003 tot 2013 van Cisco geweest, dus zal het in (een deel van) die periode als Linksys verkocht zijn, en dan is dit voorraad van 9-19 jaar oud.

In de resultaten van een zoekopdracht trof ik ook de handleiding van de RV082 aan. Er staan instructies in voor Windows 98/ME en voor Windows 2000/XP. Dat geeft wel aan hoe oud dat model al is. Het heeft dan ook 10/100 Mbps ethernetpoorten. Niet echt meer goed verkoopbaar, lijkt me.

Die apparaten zijn niet alleen vanwege deze kwetsbaarheid aan vervanging toe.
12-01-2023, 17:13 door Anoniem
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Wat betekent end-of-life volgens jou?

Als je iets aankoopt weet je op voorhand meestal hoe lang iets ondersteund zal worden, zeker als bedrijf waar je sowieso een meer jaren plan zou moeten hebben.
Als mensen dergelijk spul blijven gebruiken is dat steeds op eigen risico, dus ik vind het best wel netjes dat Cisco aangeeft dat er issue zijn in producten waar ze zich strikt genomen niets meer van hoeven aan te trekken.
12-01-2023, 17:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...

Ja je kan natuurlijk ook niet altijd alles voor eeuwig blijven ondersteunen

Leg dan eens even duidelijk en met argumenten onderbouwd uit waarom dat niet kan!
Het is afhankelijk van beslissingen die je neemt bij je software ontwerp. Tegenwoordig draaien de meeste routers Linux,
en je kunt dezelfde software draaien op al je routers. Als er een andere CPU in zit moet je een paar verschillende
binaries compileren en op je site zetten, maar de componenten waar nu problemen mee zijn die kun je gewoon bij al
je routers gelijk houden, 1 keer onderhouden, 1 keer releasen voor al je routers.
Helemaal niet nodig om apart onderhoud te doen voor verschillende types, en kleine moeite om een build service
te bouwen die alle binaries aanmaakt als er ergens wat aangepast is.

Nee, het heeft NIETS te maken met "je kunt niet", het is puur en alleen een commercieel gemotiveerd "we WILLEN niet".

100% correct en normaal.

Een commercieel bedrijf heeft als hoofdtaak te groeien winst te maken. Als je meer winst maakt door een nieuw model te introduceren dat om een bestaand model te onderhouden, dan is dat de beste beslissing. Verkeerde beslissingen worden afgestraft door de aandeelhouders.

Als je dingen langdurig wil ondersteund hebben, dan zorgt je voor een langtermijn contract of is in zee gaan met een commercieel bedrijf niet de beste optie.
12-01-2023, 17:54 door Anoniem
Door Anoniem:
Door Anoniem: "Een andere genoemde oplossing is de overstap naar een nieuwe router."

En dan natuurlijk liefst een van een fabrikant die niet stopt met software updates als de apparaten end-of-life zijn...
Waarom moet een fabrikant updates leveren voor software die end of life /uit support is ?
Of iets End-of-Life is, is niet zo boeiend. Het gaat erom wanneer het laatste producten verkocht is door de fabrikant of geautoriseerde dealer. Voor een VPN router mag je na aanschaf toch 3 tot 5 jaar support verwachten als het gaat om het herstel van productiefouten (wat een beveiligingslek feitelijk is).

Ik heb me niet in de life cycles van de in dit artikel genoemde producten verdiept en weet dus niet of dit op deze producten van toepassing is, maar in zijn algemeenheid: Als een fabrikant dit soort producten verkoopt en na zes maanden zegt: 'sorry, end of life', dan moet het mogelijk zijn om zo'n fabrikant aan te spreken op zijn zorgplicht. Overigens gaat wet- en regelgeving wel steeds meer deze kant op.
12-01-2023, 21:57 door Anoniem
Fijne vendor die Cisco, dan betaal je de hoofdprijs maar trekken ze hun handen ervan af. Dit soort devices worden nog steeds nieuw te koop aangeboden zie ik via tweakers, bijvoorbeeld zo'n Linksys RV082 staat nieuw te koop bij "All in One systems". Lekker zeg, heb je net zo'n device gekocht moet je weer iets nieuws aanschaffen.
12-01-2023, 23:13 door Anoniem
Dat opportunistische ondernemers apparatuur die end of sale is nog probeert te verkopen zegt meer over die ondernemer dan over cisco

Om maar niet te zwijgen over mafketels die dit spul op marktplaats aanbieden tegen belachelijke prijzen zonder te vermelden dat er geen updates meer voor zijn.

Zoals figuren met outdated smartphones die telegram gebruiken "omdat het veilig is" zoals harry de aluhoed hun vertelde.
13-01-2023, 09:37 door Anoniem
Cisco is voor veel producten sowieso overrated. Schei daar toch mee uit.
13-01-2023, 10:31 door Anoniem
Door Anoniem:
Dat opportunistische ondernemers apparatuur die end of sale is nog probeert te verkopen zegt meer over die ondernemer dan over cisco

Om maar niet te zwijgen over mafketels die dit spul op marktplaats aanbieden tegen belachelijke prijzen zonder te vermelden dat er geen updates meer voor zijn.

Zoals figuren met outdated smartphones die telegram gebruiken "omdat het veilig is" zoals harry de aluhoed hun vertelde.

is toch je eigen verantwoordelijkheid om te weten wat je koopt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.