A régit pedig vigye el egy olyan helyre, ahol újrahasznosítás céljából begyűjtik az elektronikus hulladékot.

Biztonsági hibákat javított a héten routereiben a Cisco. Négy kisvállalati eszközét azonban végleg elengedte: az RV110W Wireless-N VPN tűzfalat, valamint az RV130 VPN, az RV130W Wireless-N Multifunction VPN és az RV215W Wireless-N VPN routereket érintő VPN-hijacking hibára már nem adott ki patch-et, mert a modellek életciklusuk végéhez értek. Gyártásukat 2017-ben állították le, most pedig a támogatásuk is megszűnt.

A Cisco azt javasolja, hogy aki még ilyen eszközt használ, cserélje újabbra – pl. Small Business RV132W, RV160 vagy RV160W modellre –, melyeket nem érint a sérülékenység.

A CVE-2022-20923 jelű biztonsági rés, melyet egy jelszó-érvényesítési algoritmus nem megfelelő implementációja idéz elő, közepes besorolást kapott. Kihasználásával a távoli támadó képes megkerülni az eszköz hitelesítési procedúráját, akár rendszergazdai jogosultságokat is szerezhet, és hozzáférhet az IPSec VPN-hez.

A sérülékenységet azonban csak akkor lehet kihasználni, ha az IPSec VPN-kiszolgáló funkció engedélyezve van. Ezt az eszközök webes kezelőfelületén, a VPN / IPSec VPN Server / Setup pontban lehet ellenőrizni (Server Enable bekapcsolva). Az olyan vállalkozásoknak azonban, melyeknél használnak VPN-t, ez értelemszerűen nem opció. A Cisco termékbiztonsági csapata (Product Security Incident Response Team, PSIRT) egyébként nem talált arra utaló jelet, hogy a sérülékenységet kihasználták volna.

Mivel azonban a hibát a Cisco nyilvánosságra hozta, nagyon valószínű, hogy a kiberbűnözői csoportok igyekeznek kiaknázni a szervezetek lassú reakcióját: a felhasználók szinte mindig némi késéssel reagálnak a gyártók frissítési javaslataira.

A javított sebezhetőségekből kettőt minősítettek magas kockázatúnak. A CVE-2022-28199 kiaknázásával szolgáltatásmegtagadási (DoS) támadás indítható, a CVE-2022-20696 jelzésű pedig a lehetőséget ad üzenetek lehallgatására, hamisítására, illetve az üzenetküldő szolgáltatás konfigurációjának módosítására.

A harmadik javított sérülékenység, a CVE-2022-20863 közepes súlyosságú. A hiba a Webexet érinti: a nem hitelesített távoli támadó módosítja az üzenetküldő felületen található linkeket vagy más tartalmakat például adathalászat vagy üzenethamisítás céljából.

Egy apró kis csetepaté a legacy körül

A négy eszköz támogatásának megszűnése ismét rávilágít a gyártók és felhasználók legacy technológiáról folytatott vitájára: meddig köteles támogatást adni egy vendor az eszközeire? A gyártók általában azt az elvet követik, hogy ha egy termék elért az életciklusa végéhez, frissítést javasolnak (újabb eszköz, szoftver friss verziója stb.).

Nehéz igazságot tenni abban, hogy egy-egy hardvernek, szoftvernek kellően hosszú vagy túl rövid-e az életciklusa. A gyártók szerint nyilván kellően hosszú, a felhasználók egy része szerint indokolatlanul rövid. De akárhogy is, el kell fogadni, hogy előbb vagy utóbb ezeknek a digitális eszközöknek is lejár a szavatossági idejük. A gond azonban az, nyilatkozta egy szakértő a The Registernek, a hardvereknél és szofvereknél ehhez másként viszonyulunk, mint mondjuk dobozos tejnél. Míg utóbbit azonnal öntjük a lefolyóba, ha múltbéli dátumot olvasunk a "Fogyaszható:" felirat után, a hardvereknek és a szoftvereknek nem érezzük a bűzét, tehát még maradhatnak egy kicsit.

Pedig amikor egy gyártó bejelenti terméke életciklusának végét (amit ráadásul évekkel korábban megtesz), az olyan, mintha egy nagy célkeresztet rajzolnának rá. A hekkerek egyből tudják, hogy ezeket a rendszereket jó eséllyel lehet támadni – akár hosszú távon és több hullámban is –, mert nem lesz javítás a sérülékenységeihez.

Biztonság

Mit kell tenni, amikor beüt a krach?

Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.