Cisco: fabrikant negeert lek waardoor mobiele M2M-router is te kapen
Onderzoekers van Cisco hebben in een mobiele M2M-router van Yifan meerdere kritieke kwetsbaarheden gevonden waardoor het apparaat op afstand is over te nemen, maar de fabrikant heeft nadat het drie maanden geleden werd ingelicht nog altijd geen beveiligingsupdates uitgebracht. Daarop heeft Cisco nu de details van de beveiligingslekken openbaar gemaakt.
De YF325 is een machine-2-machine (M2M) mobiele router voorzien van wifi en simkaart. Volgens Yifan wordt het apparaat voor allerlei M2M-toepassingen gebruikt, zoals kassasystemen, watervoorziening, weermetingen, smart grid, industriële automatisering alsmede het Internet of Things (IoT). De router blijkt dertien kwetsbaarheden te bevatten. Het gaat onder andere om CVE-2023-24479, waardoor een aanvaller de inloggegevens van de beheerder kan aanpassen en vervolgens rootrechten kan krijgen.
Daarnaast hebben de ontwikkelaars van de router debugcode achtergelaten met daarin inloggegevens waardoor het ook mogelijk is om als admin in te loggen. De impact van de meeste kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Yifan werd begin juli over de problemen ingelicht, maar heeft nog altijd nagelaten updates uit te brengen.
Foei! Gelukkig doet Cisco dat zelf nooit!
Foei! Gelukkig doet Cisco dat zelf nooit!
Inderdaad, je betaalt de hoofdprijs voor de Cisco apparatuur zodat dit soort ongein betaald kan worden maar Cisco zelf alle apparatuur (gratis) patchen ho maar!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.