Af Eskil Sørensen, 15/01/21
Normalt bringer vi nyheder om opdateringer, som producenter sender ud til håndtering af sårbarheder i deres produkter. Denne gang er det imidlertid en nyhed om det modsatte. Det er leverandøren af netværksudstyr, Cisco, der ifølge ZDNet i går meldte ud, at de ikke ville frigive firmwareopdateringer for at rette op på 74 sårbarheder, der har været indrapporteret til serien af RV-routere i den seneste tid.
Ganske vist er der tale om produkter, der har nået End-of-Life, dvs. opdateringer er slet ikke planlagt udsendt længere. Alligevel er det bemærkelsesværdigt, at Cisco kommer med udmeldingen og knytter den til oplysninger om, at der siden december er blevet modtaget rapporter om konkrete sårbarheder på produkter. Men det kan ses i lyset af, at de berørte produkter allerede i hhv. 2017 og 2018 nåede End-of-Life pr. 1. december 2020 og også har afsluttet det sidste vedligeholdelsesvindue som en del af betalte supportkontrakter.
Det kan derfor ses som en ekstra påmindelse om, at End-of-Life rent faktisk betyder End-of-Life – selv om der som regel alligevel kommer et par opdateringer efter slutdatoen.
De berørte enheder omfatter RV110W-, RV130-, RV130W- og RV215W-systemer, som kan bruges som både routere, firewalls og VPN'er.
Cisco råder kunderne til at flytte deres aktiviteter til nyere enheder, såsom modellerne RV132W, RV160 eller RV160W, som har de samme funktioner, og som stadig holdes ved lige. Ifølge Cisco er der ingen workarounds til håndtering af sårbarhederne, men der er heller ingen offentligt kendte udnyttelser.
ZDNet melder ydermere, at ingen af de opdagede fejl let kan udnyttes.
Links: