Sicherheitshinweise

Die Schlüssel zum Download neuer Antiviren-Patterns des Herstellers Avira laufen am 30. September 2023 ab. Damit Sie auch danach die Antivirus-Funktion wie gewohnt nutzen können, ist ein Update von LCOS FX erforderlich, welches neue Schlüssel enthält. Ohne ein Update auf diese Versionen wird die Antivirus-Funktion der Unified Firewalls ab dem 01. Oktober 2023 jeden Seitenaufruf blockieren, bzw. je nach manuellen Einstellungen sämtlichen Datenverkehr ungefiltert durchleiten.

Eine Aktualisierung der Schlüssel erfolgt in den folgenden LCOS FX Versionen:

• LCOS FX 10.11 RU3
• LCOS FX 10.12 RU3

LANCOM Systems empfiehlt dringend, ein Update auf die oben genannten Versionen vorzunehmen. Diese stehen ab sofort im Firewall-Lizenzportal sowie über den Online-Updater zum Download bereit.

In den Medien wird über eine Schwachstelle im Error-Handling des Border Gateway-Protokoll (BGP) berichtet, welche es potentiellen Angreifern ermöglicht, durch manipulierte BGP-Attribute Netzwerkverbindungen im Internet zu unterbrechen (siehe Artikel bei Golem.de, dem Blogbeitrag des Sicherheitsforschers und dem Security Advisory vom BSI).

Nach eingehender Prüfung können wir mitteilen, dass folgende LANCOM Produkte nicht von dieser Schwachstelle betroffen sind:

• LANCOM Router mit LCOS ab Version 10.70
• Alle LANCOM Access Points (LCOS und LCOS LX)
• Alle LANCOM Switches (außer LANCOM XS-6128QF)
• LANCOM R&S® Unified Firewalls mit LCOS FX bis einschließlich Version 10.8 (noch keine BGP-Unterstützung)
  • LCOS FX ab Version 10.11 RU3 (Schwachstelle in der Firmware behoben; diese kann im Firewall-Lizenzportal sowie über den Online-Updater heruntergeladen werden)
  • LCOS FX ab Version 10.12 RU3 (Schwachstelle in der Firmware behoben; diese kann im Firewall-Lizenzportal sowie über den Online-Updater heruntergeladen werden)
• LANCOM Management Cloud
• LANtools (LANconfig & LANmonitor)
• LANCOM Advanced VPN Client

Die folgenden Produkte sind nach unserer Analyse von der Schwachstelle betroffen:

• LANCOM Router mit LCOS bis einschließlich Version 10.50 (mit Stand September 2023)
• LANCOM XS-6128QF mit LCOS SX 5.x
• LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.9
  • bis einschließlich LCOS FX 10.11 RU2 (Branch LCOS FX 10.11)
  • bis einschließlich LCOS FX 10.12 RU2 (Branch LCOS FX 10.12)

BGP wird auf LANCOM Routern und Unified Firewalls sowie auf dem XS-6128QF üblicherweise nicht im Internet verwendet, sondern in geschlossenen Umgebungen und in privaten Netzwerken. Zudem sind LANCOM Router und Unified Firewalls als VPN- bzw. Security-Gateways konzipiert und nicht als Router für Internet-Knotenpunkte. LANCOM Systems stuft das Sicherheits-Risiko für die betroffenen LANCOM-Produkte daher als eher gering ein.

Die betroffenen Produkte werden so schnell wie möglich mit einem Patch versehen, welcher die Schwachstelle beseitigt. Wir werden diese Seite entsprechend aktualisieren.

In den Medien wurde über eine Sicherheitslücke im SSH-Agenten von OpenSSH bis Version 9.3p2 berichtet (siehe auch CVE-2023-38408), bei welcher ein unzureichend vertrauenwürdiger Suchpfad zu entfernter Codeausführung genutzt werden kann, wenn ein Agent an ein von einem Angreifer kontrolliertes System weitergeleitet wird.

LANCOM Software- und Hardware-Produkte sind von dieser Sicherheitslücke nicht betroffen, da OpenSSH entweder gar nicht zum Einsatz kommt, oder die Funktion nicht verwendet wird.

Auf der Website tunnelcrack.mathyvanhoef.com beschreibt der Sicherheitsforscher Mathy Vanhoef im Paper "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables" zwei allgemeine Klassen von Angriffen gegen VPN-Clients, mit denen ein Angreifer bewirken kann, dass Netzwerk-Datenverkehr vom Benutzerrechner (PC, Notebook, Smartphone), welcher eigentlich für den VPN-Tunnel bestimmt ist, unzulässigerweise am VPN-Tunnel vorbei unverschlüsselt in das lokale bzw. öffentliche Netz gelangt.

Nach umfangreicher Analyse können wir mitteilen, dass auch der LANCOM Advanced VPN Client in seinen Versionen für Windows- und macOS-Betriebssysteme von diesen Angriffsmöglichkeiten betroffen sind.

In unserer Knowledge Base stellen wir unseren Kunden alle wichtigen Informationen sowie geeignete Gegenmaßnahmen zur Verfügung.

LANCOM Systems nimmt die Rückmeldungen seiner Kunden zu Qualität und Sicherheit seiner Produkte sehr ernst und so konnte durch eine Kundenrückmeldung ein Fehlverhalten bei der Verwendung von WLC-Tunneln in Kombination mit Zeitrahmen behoben werden, das eine mögliche Schwachstelle darstellt. Weitergehende Informationen zu dem Thema finden Sie in den Release Notes zu LCOS LX 6.12.

Das Verhalten ist in LCOS LX 6.12 Rel behoben. Sie können diese Version in unserem Download-Portal herunterladen.

WLAN-Produkte mit LCOS sind von dem Verhalten nicht betroffen.

In den Medien wurde über diverse Schwachstellen in Web-Oberflächen von CISCO-Switches berichtet (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 & CVE-2023-20189, siehe Meldung des BSI).

Die Switches von LANCOM Systems sind von diesen Schwachstellen nicht betroffen.

In den Medien wird derzeit über eine Schwachstelle im Service Location Protocol (SLP) berichtet, durch welche ein potentieller Angreifer in der Lage wäre, Denial-of-Service-Angriffe auf das Zielsystem auszuführen (siehe CVE-2023-29552).

Nach eingehender Analyse können wir mitteilen, dass LANCOM Hardware- und Software-Produkte nicht von dieser Schwachstelle betroffen sind.

Uns erreichte am 22.02.2023 die Nachricht, dass unser OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls in die Insolvenz gegangen ist, sodass der operative Betrieb beider Dienste nicht mehr störungsfrei gewährleistet ist.

Seit dem 29.03.2023 stellen wir unseren Kunden eine Aktualisierung auf die LCOS FX-Version 10.11 zur Verfügung, in welcher ein neuer Dienst implementiert ist. Wir empfehlen daher allen Kunden einen sofortigen Wechsel auf die neue Software-Version LCOS FX 10.11.

Die aktuelle Firmware erhalten Sie im Firewall-Lizenzportal auf unserer Webseite sowie über die Update-Funktionen in der Web-Oberfläche und der LMC.

Falls Sie keine Aktualisierung auf LCOS FX 10.11 duchführen können, beachten Sie bitte die folgenden Hinweise:

Nicht betroffen sind: Anti-Virus und Anti-Malware, Applikationsfilter, IDS / IPS und alle Funktionen der LANCOM UF Basic License. Ebenfalls ist der Content Filter von LCOS-basierten Routern nicht von diesem Sachverhalt betroffen.

Auswirkungen eines potentiellen Ausfalls:

Sollte es zum Ausfall der Content-Filtering- und Anti-Spam-Services kommen, hätte dies folgende Auswirkungen:

• Die Firewall verhält sich, als ob beide Dienste abgeschaltet wären.
• Der Aufruf von Webseiten ist ohne Einschränkungen möglich.
• E-Mails werden ohne Spam-Prüfung und Filterung durchgeleitet.

Weitergehende Maßnahmen:

• Nutzung des Content-Filters in Verbindung mit dem BPjM-Modul. Der BPjM-Filter enthält eine offizielle Webseiten-Liste der deutschen Bundesprüfstelle für jugendgefährdende Medien (BPjM), deren Inhalte offiziell als jugendgefährdend eingestuft werden. Einen Knowledge Base Artikel zur Konfiguration des BPjM-Filters finden Sie hier.
• Awareness: Über den sensiblen Umgang mit verdächtigen E-Mails mit einem besonderen Augenmerk auf das Thema Phishing sollte erneut ganz deutlich hingewiesen werden.

Fragen können an die E-Mail-Adresse faq_utm@lancom.de oder telefonisch an +49 (0) 2405 / 49 93 6-210 gerichtet werden. Die Antworten werden in Form von FAQs auf unserer Webseite veröffentlicht.

Der Sicherheitsforscher Mathy Vanhoef hat am 27.03.2023 ein neues Paper mit dem Titel „Framing Frames“ veröffentlicht, in welchem er drei verschiedene WLAN-Sicherheitslücken beschreibt:

1. "Overriding the Victims Security Context / MAC address stealing attacks"
   
   LANCOM WLAN-Produkte mit LCOS und LCOS LX sind von diesem Verhalten betroffen. LANCOM Systems stuft diese Sicherheitslücke als gering ein, da ein potentieller Angreifer bereits mit entsprechenden Zugangsdaten in dem Netzwerk authentifiziert sein muss.
   
   LANCOM Systems empfiehlt vertrauenswürdige und nicht vertrauenswürdige WLAN-Clients durch Einsatz verschiedener SSIDs und Netzwerke voneinander zu trennen (siehe Beispiel-Konfiguration in einem WLAN-Controller Szenario). Außerdem kann in Szenarien mit einem einzelnen Access Point oder WLAN-Router der Angriff durch Aktivieren der Funktion “Protected Management Frames“ unterbunden werden (siehe Referenzhandbücher LCOS bzw. LCOS LX).
   
   Unabhängig davon prüfen wir jedoch die Umsetzung weiterer Sicherheitsmaßnahmen, um die grundsätzliche Ausführung dieses Angriffs zu unterbinden.
    
2. "Leaking frames from the Queue"
   
   LANCOM WLAN-Produkte mit LCOS und LCOS LX sind von diesem Verhalten nicht betroffen.
    
3. "Abusing the queue for Network Disruptions"
   
   Diese Sicherheitslücke basiert auf einer Schwachstelle des 802.11 Standards. LANCOM WLAN-Produkte mit LCOS und LCOS LX sind daher von diesem Verhalten betroffen.
   
   LANCOM Systems prüft die Umsetzung weiterer Sicherheitsmaßnahmen, um die grundsätzliche Ausführung dieses Angriffs zu unterbinden.

Weitergehende Informationen zu den einzelnen Schwachstellen haben wir für Sie in diesem Knowledge Base Artikel zusammengestellt.

Anfang Februar wurden einige Schwachstellen in OpenSSL veröffentlicht. Dadurch ist es unter Anderem möglich, bei aktivierter CRL-Prüfung Speicherinhalte auszulesen oder auch eine DoS-Attacke auszuführen (siehe OpenSSL Security Advisory).

LANCOM Produkte sind betroffen und es werden folgende Updates zur Verfügung gestellt:

• LCOS 10.72 SU2 - verfügbar ab 28.02.2023
• LCOS 10.50 RU10 - verfügbar seit 27.02.2023
• LCOS 10.42 SU10 – verfügbar ab 28.02.2023
• LCOS FX 10.11 Rel –  verfügbar ab 29.03.2023
• LCOS LX 6.10 Rel – verfügbar ab 28.02.2023
• LCOS LX 5.38 SU1 – verfügbar ab 16.03.2023
• LCOS LX 5.36 SU2 – verfügbar ab 09.03.2023
• LCOS SX 4.20 REL - verfügbar ab 23.03.2023
• LCOS SX 5.20 RU3 - verfügbar ab 15.06.2023

Folgende LANCOM Produkte sind nicht betroffen:

• LANCOM Management Cloud
• Geräte mit LCOS SX 3.34 RU2

Hinweis zu LCOS LX und LCOS SX:

Diese sind nicht von der als "Hoch" bewerteten Schwachstelle CVE-2023-0286 betroffen, da die relevante Funktion nicht verwendet wird. Die restlichen Schwachstellen sind als "Moderat" eingestuft und werden im nächsten Update (s.o.) geschlossen. Dieser Hinweis wird aktualisiert, sobald die Veröffentlichungstermine feststehen.

Hinweis zum Bezug der Updates:

• Die Firmware-Dateien für LCOS, LCOS LX und LCOS SX stehen als Download auf unserer Webseite zur Verfügung. 
• Die Firmware-Dateien für LCOS FX stehen in unserem Lizenz-Portal zur Verfügung.

Update 15.02.2023:

Seit einigen Tagen gibt es Medienberichte, welche sich auf diese Sicherheitslücke beziehen und somit den Eindruck erwecken können, als würde diese erneut auftreten. Es handelt sich dabei aber lediglich um ein Update im SUSE Linux Kernel.

Die Sicherheitslücke ist auf LANCOM Access Points und WLAN-Routern mit den in der ursprünglichen Meldung erwähnten Firmware-Versionen behoben.

Ursprüngliche Meldung vom 11.05.2021:

Der Sicherheitsforscher Mathy Vanhoef hat in einem Bericht Schwachstellen im WLAN Standard IEEE 802.11 sowie dessen Implementierungen veröffentlicht. Diese Sicherheitslücken betreffen weite Teile der WLAN-Industrie. Sicherheitslücken in den Funktionen "Frame Aggregation" & "Frame Fragmentation":

LANCOM Produkte sind von folgenden CVEs betroffen:

• CVE-2020-24588
• CVE-2020-26144
• CVE-2020-26146
• CVE-2020-26147

Diese Sicherheitslücken sind bei LANCOM WLAN-Produkten, welche mit LCOS betrieben werden, ab LCOS 10.42 REL behoben. Zusätzlich ist der entsprechende Sicherheits-Patch in folgenden LCOS-Versionen enthalten:

• LCOS 10.34 RU3
• LCOS 10.20 SU11
• LCOS 10.12 SU16 (nur für Geräte, welche keine neuere Firmware mehr unterstützen)

Bei LANCOM Access Points des Typs LW-500 sind die Sicherheitslücken ab LCOS LX 5.30 RU2 behoben. Für Wi-Fi 6-fähige LANCOM Access Points des Typs LW-600 und LX-6400/6402 ist der Sicherheits-Patch ab der Firmware-Version 5.30 SU3 verfügbar. LANCOM Systems empfiehlt, ein Update auf die genannten Firmware-Versionen durchzuführen. Die LCOS Firmware 10.12 SU16 sowie LCOS LX 5.30 SU3 können Sie ab dem 12. Mai 2021 kostenlos von der LANCOM Webseite herunterladen. In der LANCOM Management Cloud sind alle Patches bereits jetzt bzw. umgehend nach der Veröffentlichung verfügbar. Wenn Sie den Auto-Updater von LANconfig verwenden, kann die Verfügbarkeit etwas Zeit in Anspruch nehmen. Für ältere Produkte, welche diesen Sicherheits-Patch nicht mehr erhalten, empfehlen wir mittelfristig die Migration auf neue WLAN-Technologien.

Im Oktober 2022 wurden mehrere Sicherheitslücken im Linux Kernel veröffentlicht (CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722), die das Ausführen beliebigen Codes ermöglichen (Remote Code Execution) oder zu einem Geräte-Absturz führen können (Denial of Service).

LANCOM WLAN-Router und Access Points sind von diesem Verhalten nicht betroffen.

In den Medien wird derzeit über mehrere Schwachstellen in OpenSSL 3.0 berichtet, welche vom "OpenSSL Project" mit dem am 02.11.2022 veröffentlichten Security Patch 3.0.7 behoben sind.

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) und Geräte sowie der Advanced VPN Client und die LANtools nicht von den Schwachstellen betroffen sind.

Die LMC befindet sich derzeit noch in der Evaluierung. Sobald hierzu ein Ergebnis vorliegt, wird es in dieser Meldung publiziert.

LANCOM Systems nimmt die Rückmeldungen seiner Kunden zu Qualität und Sicherheit seiner Produkte sehr ernst und so konnte durch eine Kundenrückmeldung ein Verhalten bei einem LANCOM Switch des Typs GS-2352(P) festgestellt werden. Dies betrifft ausschließlich den GS-2352(P), nicht aber die restlichen Geräte der GS-23xx Serie oder andere Switch-Baureihen.

Sendet ein an den Switch-Ports 1 - 24 angeschlossenes Gerät ein Paket an den Switch, wird dieses auch an den Ports 25 – 50 ausgegeben. Dabei sind nur für den Switch bestimmte Pakete betroffen, nicht aber der Datenverkehr für andere Netzwerk-Teilnehmer.

LANCOM Systems empfiehlt daher beim Betrieb und in der Verwaltung seiner Produkte stets sichere und verschlüsselte Kommunikationsprotokolle einzusetzen. Auf einem Switch der GS-23xx Serie sind mit Werkseinstellungen verschiedene unsichere Protokolle nutzbar. LANCOM Systems empfiehlt daher dringend, falls nicht bereits durchgeführt, die Sicherheits-Einstellungen für den Zugriff auf den Switch anzupassen. Die Vorgehensweise ist in diesem Knowledge Base Artikel beschrieben.

In den Medien wurde über eine Schwachstelle in der OpenSSL-Bibliothek berichtet, welche es einem Angreifer ermöglicht, mit Hilfe von präparierten TLS-Zertifikaten auf dem Zielsystem eine DoS-Attacke durchzuführen (siehe CVE-2022-0778).

LANCOM Produkte sind von dieser Schwachstelle aufgrund der eingesetzten OpenSSL-Versionen betroffen. Es wird empfohlen, auf die folgenden Betriebssystem-Versionen zu aktualisieren:

• LCOS 10.50 ab Version RU7
• LCOS 10.42 ab Version RU7
• LCOS 10.34 SU5
• LCOS 10.32.0031 PR (BSI BSZ)
• LCOS FX 10.7 ab Version RU2
• LCOS LX ab Version 5.36 REL
• LCOS SX ab den Versionen 3.34 REL & 4.00 RU7
• LCOS SX ab Version 5.20 RU1

Alle Betriebssystem-Versionen stehen als Download auf unserer Webseite zur Verfügung.

Die LANCOM Management Cloud (LMC) wurde bereits mit einem Sicherheitspatch versehen.

Bei privaten LMC-Instanzen können jeweils die Hostsysteme betroffen sein, nicht die LANCOM Produkte selbst. Hier empfehlen wir, die Systeme mit entsprechenden Patches zu sichern.

Die Medien berichten über eine kritische Schwachstelle im Open-Source-Framework der Java-Plattform „Spring“, welche als "Spring4Shell" bekannt geworden ist (CVE-2022-22965).

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) sowie die LANCOM Management Cloud und der LANCOM Advanced VPN Client nicht von der Schwachstelle betroffen sind.

In den Medien wird über eine Sicherheitslücke im NetUSB-Kernelmodul des Herstellers KCodes berichtet, welche von Angreifern zur Remote-Codeausführung und auch zur Übernahme der Systeme ausgenutzt werden kann (siehe CVE-2021-45388). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von dieser Sicherheitslücke betroffen sind.

In den Medien wird über eine Sicherheitslücke in der Logging-Bibliothek "Log4j" informiert, welche es einem Angreifer ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen (siehe CVE-2021-44228 sowie Meldung des BSI). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von der Sicherheitslücke betroffen sind. Bei Rückfragen wenden Sie sich bitte an den LANCOM Support.