Sicherheitshinweise

Am 24.03.2025 haben die Sicherheitsforscher von Wiz, Inc Informationen zu einer Sicherheitslücke in NGINX veröffentlicht. Dies betrifft die Schwachstellen CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974. Darüber konnten Angreifer ohne Authentifizierung beliebigen Code ausführen (RCE).

Die Public LMC sowie sämtliche Private-LMC-Instanzen wurden direkt nachdem LANCOM Systems Kenntnis von dieser Sicherheitslücke erlangt hat, aktualisiert, sodass die Sicherheitslücke nicht ausgenutzt werden kann.

Die Sicherheitsforscher Mathy Vanhoef und Angelos Beitis haben Schwachstellen in den Tunnel-Protokollen GRE, GUE, IPIP, 4in6 und 6in4 entdeckt. Darüber können Angreifer unter Anderem Zugriff auf ein privates Netzwerk einer Organisation erlangen und auch Denial-of-Service-Attacken ausführen.

Da es sich um Schwachstellen in den Tunnel-Protokollen selbst handelt, ist die Konfiguration der Geräte ausschlaggebend, ob diese von den Schwachstellen betroffen sind oder nicht.

Die Betriebssysteme LCOS FX, LCOS LX, LCOS SX sowie die LANtools und die LMC sind von den Schwachstellen nicht betroffen, da diese keine Tunnel-Protokolle unterstützen.

Das Betriebssystem LCOS unterstützt die Tunnel-Protokolle GRE, IPIP, 4in6 und 6in4. Das Protokoll IPIP wird allerdings nur innerhalb eines verschlüsselten IPSec-Tunnels unterstützt und kann somit nicht angegriffen werden. Die Tunnel-Protokolle werden in der Standard-Konfiguration nicht verwendet, sodass Router mit LCOS ohne entsprechende Konfigurations-Änderungen nicht betroffen sind.

Qualcomm hat in einem Security Bulletin über die Schwachstelle CVE-2024-43047 informiert, über die potentielle Angreifer durch Ausnutzen eines "Use-After-Free" Speicher korrumpieren und potentiell beliebigen Code ausführen können. Qualcomm teilt in dem Security Bulletin (unter "Announcements") ebenfalls mit, dass die Sicherheitslücke bereits aktiv ausgenutzt wird.

LANCOM Hardware- und Software-Produkte sind von dieser Schwachstelle nicht betroffen.

Das Unternehmen SSD Secure Disclosure hat am 05.09.2024 Informationen zu einer Sicherheitslücke im LCOS veröffentlicht, über die Angreifer einen „Heap Overflow“ im Webinterface auslösen können. Dieser führt zu einem unvermittelten Neustart des Gerätes (DoS-Attacke). 

Die Kommunikation zwischen den Geräten und der LMC ist von diesem Verhalten nicht betroffen, da die Kommunikation initial vom Gerät ausgeht.

LANCOM Systems hat die Sicherheitslücke bereits behoben und stellt die fehlerbereinigten Versionen im Download-Bereich zur Verfügung. LANCOM Systems empfiehlt dringend, diese Versionen schnellstmöglich auf Ihren Geräten einzuspielen. Die fehlerbereinigten Firmware-Versionen werden voraussichtlich ab Mitte KW 38 auch über den Auto-Updater zur Verfügung stehen.

• Aktuelle Firmware-Versionen:
  • LCOS 10.80 SU8 (download)
  • LCOS 10.72 SU10 (download)
  • LCOS 10.50 SU15 (download)
• Darüber hinaus stellt LANCOM Systems folgende EOL-Firmware-Versionen zur Verfügung:
  • LCOS 10.42 SU14 (download)
  • LCOS 10.34 SU6 (download)
  • LCOS 10.20 SU12 (download)
  • LCOS 10.12 SU17 (download)
  • LCOS 9.24 SU13 (download)

Bis zum Einspielen der fehlerbereinigten Firmware in den Router sollten die Web-Server-Dienste auf dem WAN (Abschnitt 3) und die Funktion IPSec-over-HTTPS auf dem Router deaktiviert werden. Bitte beachten Sie, dass VPN-Verbindungen dadurch nur noch mit IPSec aufgebaut werden können und einige Advanced VPN Client Verbindungen gegebenenfalls nicht mehr funktionieren. 

In Public Spot Szenarien können die Web-Server-Dienste nicht deaktiviert werden, ohne dass die Hotspot-Funktionalität deaktiviert wird. In einem solchen Szenario empfiehlt LANCOM Systems daher, die fehlerbereinigte Firmware umgehend in das Gerät einzuspielen.

LANCOM Systems empfiehlt generell den Zugriff auf das Webinterface aus dem WAN zu verbieten bzw. auf VPN-Verbindungen einzuschränken (Abschnitt 1) oder zumindest auf bestimmte Netzwerke und/oder IP-Adressen einzuschränken (Abschnitt 2). 

Alan de Kok (Gründer und Leiter von FreeRADIUS) hat Informationen zu einer Schwachstelle im RADIUS-Protokoll veröffentlicht (VU#456537). Dadurch kann ein Angreifer bei Verwendung von RADIUS/UDP über eine man-in-the-middle Attacke ein „Access-Reject“ des RADIUS-Servers in ein „Access-Accept“ für das anfragende Gerät wandeln.

Dies führt dazu, dass das anfragende Gerät Zugriff auf das Netzwerk erhält. Generell muss die Schwachstelle auf dem RADIUS-Server behoben werden. Bei Geräten, welche als RADIUS-Client fungieren, kann optional die Forcierung des „Message-Authenticators“ aktiviert werden. 

LANCOM R&S®Unified Firewalls mit LCOS FX sind von dem Verhalten nicht betroffen, da diese lediglich als RADIUS-Client für IKEv2 i.V.m. EAP verwendet werden können. EAP setzt das Vorhandensein des „Message Authenticators“ voraus. Der LANCOM Advanced VPN Client ist ebenfalls nicht betroffen.

LANCOM Router und Access Points mit LCOS, LANCOM Access Points mit LCOS LX sowie LANCOM Switches mit LCOS SX sind von dem Verhalten betroffen. 
Die Schwachstelle ist in den folgenden Firmware-Versionen behoben (RADIUS-Server) bzw. kann über die Funktion „Require Message-Authenticator“ mitigiert werden (RADIUS-Client):

LCOS (RADIUS-Server und -Client):

• 10.50 RU14 (download)
• 10.72 RU8 (download)
• 10.80 RU6 (download)

LCOS LX (RADIUS-Client):

• LCOS LX 6.20 Rel – Veröffentlichung voraussichtlich im August 2024 

LCOS SX (RADIUS-Client):

• 3.34 SU8 (download)
• 4.00 SU13 (download)
• 4.20 SU3 (download)
• 4.30 Rel (download)
• 5.20 SU9 (download)

Weitere Handlungs-Empfehlungen zu dieser Sicherheitslücke finden Sie in diesem Knowledge Base Artikel. 

Die Qualys Threat Research Unit veröffentlichte am 01.07.2024 Informationen zu einer Sicherheitslücke im OpenSSH Server auf glibc-basierten Linux-Systemen, durch die Angreifer beliebigen Code ausführen können (Remote Code Execution).

LANCOM Hard- und Software-Produkte sind von dieser Sicherheitslücke nicht betroffen, da der OpenSSH-Server entweder nicht oder in einer nicht betroffenen Version verwendet wird.

In den Medien wurde eine Sicherheitslücke veröffentlicht, mit der ein Angreifer Root-Rechte in Linux erlangen kann (CVE-2024-1086).

LANCOM Router und Access Points mit LCOS sowie Switches mit LCOS SX 3.xx sind von dieser Sicherheitslücke nicht betroffen, da kein Linux verwendet wird.

LANCOM R&S®Unified Firewalls mit LCOS FX, LANCOM Access Points mit LCOS LX sowie LANCOM Switches mit LCOS SX 4.xx und 5.xx verwenden Linux, sind nach unserer Analyse von der Sicherheitslücke aber nicht betroffen.

Am 28.05.2024 hat das OpenSSL Project eine Sicherheitslücke in OpenSSL veröffentlicht, durch die Angreifer verschiedenartige Attacken ausführen können (Ausführen von beliebigem Code, DoS-Attacke, Manipulation von Daten).

LANCOM Router und Access Points mit LCOS sind von der Sicherheitslücke nicht betroffen, da der TLS-Stack von OpenSSL in LCOS nicht verwendet wird.

LANCOM R&S®Unified Firewalls mit LCOS FX, LANCOM Switches mit LCOS SX 3.xx / 4.xx / 5.xx sowie LANCOM Access Points mit LCOS LX verwenden OpenSSL in einer betroffenen Version. Allerdings wird die Funktion „SSL_free_buffers“ in keinem der Betriebssysteme aktiv verwendet, sodass diese von der Sicherheitslücke nicht betroffen sind.

Das „Black Lotus Labs“-Team von Lumen Technologies hat am 01.05.2024 Informationen zur Cuttlefish-Malware veröffentlicht, die mit Linux betriebene Netzwerkgeräte infiziert. Darüber können die Angreifer potentiell jeglichen Netzwerkverkehr auf den betroffenen Geräten mitlesen.

LANCOM Router und Access Points mit LCOS sowie Switches mit LCOS SX 3.xx können durch diese Malware nicht infiziert werden, da kein Linux verwendet wird.

LANCOM R&S®Unified Firewalls mit LCOS FX, LANCOM Access Points mit LCOS LX und LANCOM Switches mit LCOS SX 4.xx und 5.xx verwenden Linux, allerdings gibt es keinen bekannten Angriffsvektor, um die Malware auf den Geräten zu platzieren.

In den Medien wurden Informationen zur 5Ghoul-Schwachstelle in 5G-Modems veröffentlicht, über welche Angreifer Denial-of-Service-Attacken ausführen können. Das von LANCOM Systems verwendete 5G-Modem EM9191 reagiert laut Aussage des Herstellers Sierra Wireless auf die Sicherheitslücken CVE-2023-33042, CVE-2023-33043 und CVE-2023-33044.

Die folgenden LANCOM 5G-Router sind von der Schwachstelle betroffen. LANCOM Systems hat die Schwachstelle in der WWAN-Firmware 03.14.10.01 behoben. Aus Kompatibilitätsgründen empfiehlt LANCOM Systems zusätzlich ein Update auf LCOS 10.80 RU5 vorzunehmen. Beide Firmware-Versionen stehen in unserem Download-Portal zur Verfügung.

• 1926VAG-5G
• 1900EF-5G
• 1800EF-5G (bis einschließlich HW-Release B)

Alle anderen LANCOM 5G-Router sind von der Schwachstelle nicht betroffen.

Die Leviathan Security Group veröffentlichte am 06.05.2024 Informationen zur Tunnelvision-Sicherheitslücke (CVE-2024-3661), welche auf Endgeräte mit VPN-Clients abzielt. Damit können Angreifer mittels der DHCP-Option 121 Endgeräten neben der IP-Adresse eine statische Route zuweisen, sodass Datenverkehr am VPN-Tunnel vorbeigeleitet wird und die Angreifer den Datenverkehr mitlesen können.

Diese Schwachstelle nutzt als Angriffs-Vektor das Routing im Betriebssystem der Endgeräte aus. Daher sind LANCOM Router, Access Points, LANCOM R&S®Unified Firewalls sowie die LMC nicht davon betroffen.

Der Advanced VPN Client / LANCOM Trusted Access Client ist von der Schwachstelle betroffen. Allerdings können Angreifer nur die initiale Nachricht für den Aufbau der VPN-Verbindung mitlesen. Da das Firmen-Netzwerk nicht über den vom Angreifer bezogenen Routing-Eintrag erreicht werden kann, ist auch keine Kommunikation mit diesem Netzwerk möglich.

LANCOM Systems empfiehlt folgende Gegenmaßnahmen:

• In öffentlichen Netzwerken sollte auf Split Tunneling verzichtet und stattdessen jeglicher Datenverkehr über den VPN-Tunnel geleitet werden (Option Alles durch den Tunnel im Advanced VPN Client in dem verwendeten Profil unter Split Tunneling bzw. Gesamter Netzwerkverkehr (LANCOM Trusted Internet Access - Full Tunnel) in der Konfiguration des LANCOM Trusted Access Clients in der LMC unter Sicherheit - LANCOM Trusted Access - Client-Konfiguration).
• Auf einem Mobil-Telefon kann ein Hotspot erstellt und das Notebook mit diesem verbunden werden. Da das Netzwerk von dem Mobil-Telefon kontrolliert wird, sollte ein Angreifer keine Zugriffsmöglichkeit auf dieses Netzwerk haben. Verfügt das Notebook über ein integriertes Mobilfunk-Modem, kann dieses auch direkt per Mobilfunk mit dem Internet verbunden werden.

Am 14.05.2024 hat der Sicherheitsforscher Mathy Vanhoef in seinem Paper SSID Confusion: Making Wi-Fi Clients connect to the Wrong Network Informationen zu einer Schwachstelle im WLAN-Standard veröffentlicht. Darin wird beschrieben, wie ein Angreifer mittels eines Man-in-the-Middle-Angriffs einen WLAN-Client auf eine andere SSID auf einem „Rogue AP“ leiten kann, sofern die gleichen Zugangsdaten verwendet werden (eine solche Konstellation wird teils in eduroam-Umgebungen verwendet).

Mathy Vanhoef berichtet in seinem Paper, dass sich einige VPN-Clients in bekannten/sicheren Netzwerken deaktivieren. Dadurch kann vermeintlich sichere Kommunikation von einem Angreifer mitgeschnitten werden. Der Advanced VPN Client / LANCOM Trusted Access Client verfügt zwar eine Erkennung für bekannte/sichere Netzwerke, allerdings arbeitet diese nicht auf Basis von WLAN-Netzwerken (SSIDs). Daher tritt das von Mathy Vanhoef beobachtete Verhalten mit dem Advanced VPN Client / LANCOM Trusted Access Client nicht auf.

Da es sich um eine Schwachstelle im WLAN-Standard handelt, kann diese bei Verwendung von 802.1X und unter bestimmten Voraussetzungen auch von WPA3 auch mit LANCOM-Produkten ausgenutzt werden. Sollte der WLAN-Standard entsprechend aktualisiert werden, wird LANCOM Systems schnellstmöglich Anpassungen in der Firmware vornehmen.

LANCOM Systems empfiehlt daher in entsprechenden Szenarien WPA2 zu verwenden oder – sofern möglich – WLAN-Netzwerke mit unterschiedlichen Zugangsdaten zu verwenden.

Durch eine Kunden-Rückmeldung konnten wir eine Sicherheitslücke im LCOS beheben, durch die nach Schreiben einer vollständigen Konfiguration (z.B. eine *.lcf Datei) mit einem weiteren Administrator mit Supervisor-Berechtigung das Passwort des Administrators „root“ zurückgesetzt – und damit gelöscht - wurde.

LCOS ist ab der Version 10.80 RU1 von dieser Sicherheitslücke betroffen. Niedrigere LCOS-Versionen bzw. andere LANCOM Betriebssysteme sind nicht betroffen. Das Verhalten ist in der LCOS-Version 10.80 SU4 behoben.

Ein unautorisierter Zugriff auf den Router über das WAN (Internet) ist durch diese Sicherheitslücke nicht möglich.

In Public Spot-Szenarien mit einem separaten Gastnetzwerk ist durch die Verwendung von VLAN oder einem WLC-Tunnel ein Management-Zugriff aus dem Gastnetzwerk auf die Access Points nicht möglich und damit eine Gefährdung ausgeschlossen.

Sicherheitslücke in LCOS 10.80 SU4 behoben:

LANCOM Systems empfiehlt dringend die fehlerbereinigte LCOS-Version 10.80 SU4 einzuspielen (download).

Die Medien berichten über eine Sicherheitslücke, bei welcher die unzulässige Verarbeitung von HTTP/2 Headern und Continuation Frames DoS-Angriffe aufgrund von Netzwerkbandbreite oder CPU-Auslastung ermöglicht.

Die Details zu dieser Sicherheitslücke sind im Blog des Sicherheitsforschers Bartek Nowotarski zusammen gefasst.

LANCOM Software- und Hardware-Produkte sind von dieser Sicherheitslücke nicht betroffen, da das HTTP/2-Protokoll dort nicht zum Einsatz kommt.

Am 29.03.2024 wurden Informationen zu einer Backdoor in den XZ Utils veröffentlicht (CVE-2024-3094), durch die Angreifer eigenen Code ausführen können (Remote Code Execution).

LANCOM Hard- und Software-Produkte sind von dieser Sicherheitslücke nicht betroffen.

Die Medien berichten über eine Sicherheitslücke im SSH-Protokoll (CVE-2023-48795), welche von Wissenschaftlern der Ruhr-Universität Bochum unter dem Namen "Terrapin attack" veröffentlicht wurden.

Hierbei handelt es sich um eine Schwachstelle im Standard des SSH-Protokolls, durch welche ein Angreifer per "Man-in-the-Middle"-Angriff Daten aus einer abgesicherten SSH-Verbindung löschen kann, um die Sicherheit der Verbindung herabzusetzen.

Die folgenden LANCOM Produkte und Betriebssysteme sind von der Schwachstelle betroffen:

• LCOS
  • Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben (download).
  • Die Sicherheitslücke ist in LCOS 10.50 RU13 behoben (download).
  • Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben (download).
  • Die Sicherheitslücke ist in LCOS 10.80 RU2 behoben (download).
• LCOS FX
  • Die Sicherheitslücke ist in LCOS FX 10.13 RU3 behoben (download).
• LCOS LX
  • Die Sicherheitslücke ist in LCOS LX 6.14 RU1 behoben (download).
• LCOS SX 4.20
• LCOS SX 5.20
• LANconfig
  • Die Sicherheitslücke ist in LANconfig 10.80 RU3 behoben (download).

Die folgenden LANCOM Betriebssysteme sind von der Schwachstelle nicht betroffen:

• LCOS SX 3.34
• LCOS SX 4.00

LANCOM Systems wird die betroffenen Produkte in Kürze mit Sicherheits-Patches versorgen.

LANCOM Systems empfiehlt als Sofortmaßnahme die Verwendung der Verschlüsselungs-Modi AES-GCM bzw. AES-CTR (ohne Encrypt-then-MAC) für SSH-Verbindungen, da diese Modi nicht von der Schwachstelle betroffen sind (in LCOS SX 5.20 erst möglich ab Version 5.20 RU7). Informationen zur Konfiguration erhalten Sie in diesem Knowledge Base-Artikel.

Angesichts der Tatsache, dass zum Ausnutzen der Schwachstelle "Man-in-the-Middle"-Fähigkeiten vorhanden sein müssen (hohe Angriffskomplexität) und zudem ein von der Schwachstelle betroffener Verschlüsselungs-Modus eingesetzt werden muss (siehe Empfehlung), ist die Bedrohungslage als nicht kritisch anzusehen.

Die Schlüssel zum Download neuer Antiviren-Patterns des Herstellers Avira laufen am 30. September 2023 ab. Damit Sie auch danach die Antivirus-Funktion wie gewohnt nutzen können, ist ein Update von LCOS FX erforderlich, welches neue Schlüssel enthält. Ohne ein Update auf diese Versionen wird die Antivirus-Funktion der Unified Firewalls ab dem 01. Oktober 2023 jeden Seitenaufruf blockieren, bzw. je nach manuellen Einstellungen sämtlichen Datenverkehr ungefiltert durchleiten.

Eine Aktualisierung der Schlüssel erfolgt in den folgenden LCOS FX Versionen:

• LCOS FX Version 10.11 RU4 oder höher

LANCOM Systems empfiehlt dringend, ein Update auf die oben genannten Versionen vorzunehmen. Diese stehen im Firewall-Lizenzportal sowie über den Online-Updater zum Download bereit.

In den Medien wird über eine Schwachstelle im Error-Handling des Border Gateway-Protokoll (BGP) berichtet, welche es potentiellen Angreifern ermöglicht, durch manipulierte BGP-Attribute Netzwerkverbindungen im Internet zu unterbrechen (siehe Artikel bei Golem.de, dem Blogbeitrag des Sicherheitsforschers und dem Security Advisory vom BSI).

Nach eingehender Prüfung können wir mitteilen, dass folgende LANCOM Produkte nicht von dieser Schwachstelle betroffen sind:

• Alle LANCOM Access Points (LCOS und LCOS LX)
• Alle LANCOM Switches (außer LANCOM XS-6128QF)
• LANCOM R&S® Unified Firewalls mit LCOS FX bis einschließlich Version 10.8 (noch keine BGP-Unterstützung)
  • LCOS FX ab Version 10.11 RU3 (Schwachstelle in der Firmware behoben; diese kann im Firewall-Lizenzportal sowie über den Online-Updater heruntergeladen werden)
  • LCOS FX ab Version 10.12 RU3 (Schwachstelle in der Firmware behoben; diese kann im Firewall-Lizenzportal sowie über den Online-Updater heruntergeladen werden)
• LANCOM Management Cloud
• LANtools (LANconfig & LANmonitor)
• LANCOM Advanced VPN Client

Die folgenden Produkte sind nach unserer Analyse von der Schwachstelle betroffen:

• LANCOM Router mit LCOS bis einschließlich Version 10.80 REL (mit Stand November 2023)
  • Das Verhalten ist ab den LCOS Versionen 10.72 RU6 und 10.80 RU1 behoben.
• LANCOM XS-6128QF mit LCOS SX 5.x
• LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.9
  • bis einschließlich LCOS FX 10.11 RU2 (Branch LCOS FX 10.11)
  • bis einschließlich LCOS FX 10.12 RU2 (Branch LCOS FX 10.12)

BGP wird auf LANCOM Routern und Unified Firewalls sowie auf dem XS-6128QF üblicherweise nicht im Internet verwendet, sondern in geschlossenen Umgebungen und in privaten Netzwerken. Zudem sind LANCOM Router und Unified Firewalls als VPN- bzw. Security-Gateways konzipiert und nicht als Router für Internet-Knotenpunkte. LANCOM Systems stuft das Sicherheits-Risiko für die betroffenen LANCOM-Produkte daher als eher gering ein.

Die betroffenen Produkte werden so schnell wie möglich mit einem Patch versehen, welcher die Schwachstelle beseitigt. Wir werden diese Seite entsprechend aktualisieren.

In den Medien wurde über eine Sicherheitslücke im SSH-Agenten von OpenSSH bis Version 9.3p2 berichtet (siehe auch CVE-2023-38408), bei welcher ein unzureichend vertrauenwürdiger Suchpfad zu entfernter Codeausführung genutzt werden kann, wenn ein Agent an ein von einem Angreifer kontrolliertes System weitergeleitet wird.

LANCOM Software- und Hardware-Produkte sind von dieser Sicherheitslücke nicht betroffen, da OpenSSH entweder gar nicht zum Einsatz kommt, oder die Funktion nicht verwendet wird.

Auf der Website tunnelcrack.mathyvanhoef.com beschreibt der Sicherheitsforscher Mathy Vanhoef im Paper "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables" zwei allgemeine Klassen von Angriffen gegen VPN-Clients, mit denen ein Angreifer bewirken kann, dass Netzwerk-Datenverkehr vom Benutzerrechner (PC, Notebook, Smartphone), welcher eigentlich für den VPN-Tunnel bestimmt ist, unzulässigerweise am VPN-Tunnel vorbei unverschlüsselt in das lokale bzw. öffentliche Netz gelangt.

Nach umfangreicher Analyse können wir mitteilen, dass auch der LANCOM Advanced VPN Client in seinen Versionen für Windows- und macOS-Betriebssysteme von diesen Angriffsmöglichkeiten betroffen sind.

In unserer Knowledge Base stellen wir unseren Kunden alle wichtigen Informationen sowie geeignete Gegenmaßnahmen zur Verfügung.

LANCOM Systems nimmt die Rückmeldungen seiner Kunden zu Qualität und Sicherheit seiner Produkte sehr ernst und so konnte durch eine Kundenrückmeldung ein Fehlverhalten bei der Verwendung von WLC-Tunneln in Kombination mit Zeitrahmen behoben werden, das eine mögliche Schwachstelle darstellt. Weitergehende Informationen zu dem Thema finden Sie in den Release Notes zu LCOS LX 6.12.

Das Verhalten ist in LCOS LX 6.12 Rel behoben. Sie können diese Version in unserem Download-Portal herunterladen.

WLAN-Produkte mit LCOS sind von dem Verhalten nicht betroffen.

In den Medien wurde über diverse Schwachstellen in Web-Oberflächen von CISCO-Switches berichtet (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 & CVE-2023-20189, siehe Meldung des BSI).

Die Switches von LANCOM Systems sind von diesen Schwachstellen nicht betroffen.

In den Medien wird derzeit über eine Schwachstelle im Service Location Protocol (SLP) berichtet, durch welche ein potentieller Angreifer in der Lage wäre, Denial-of-Service-Angriffe auf das Zielsystem auszuführen (siehe CVE-2023-29552).

Nach eingehender Analyse können wir mitteilen, dass LANCOM Hardware- und Software-Produkte nicht von dieser Schwachstelle betroffen sind.

Uns erreichte am 22.02.2023 die Nachricht, dass unser OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls in die Insolvenz gegangen ist, sodass der operative Betrieb beider Dienste nicht mehr störungsfrei gewährleistet ist.

Seit dem 29.03.2023 stellen wir unseren Kunden eine Aktualisierung auf die LCOS FX-Version 10.11 zur Verfügung, in welcher ein neuer Dienst implementiert ist. Wir empfehlen daher allen Kunden einen sofortigen Wechsel auf die neue Software-Version LCOS FX 10.11.

Die aktuelle Firmware erhalten Sie im Firewall-Lizenzportal auf unserer Webseite sowie über die Update-Funktionen in der Web-Oberfläche und der LMC.

Falls Sie keine Aktualisierung auf LCOS FX 10.11 duchführen können, beachten Sie bitte die folgenden Hinweise:

Nicht betroffen sind: Anti-Virus und Anti-Malware, Applikationsfilter, IDS / IPS und alle Funktionen der LANCOM UF Basic License. Ebenfalls ist der Content Filter von LCOS-basierten Routern nicht von diesem Sachverhalt betroffen.

Auswirkungen eines potentiellen Ausfalls:

Sollte es zum Ausfall der Content-Filtering- und Anti-Spam-Services kommen, hätte dies folgende Auswirkungen:

• Die Firewall verhält sich, als ob beide Dienste abgeschaltet wären.
• Der Aufruf von Webseiten ist ohne Einschränkungen möglich.
• E-Mails werden ohne Spam-Prüfung und Filterung durchgeleitet.

Weitergehende Maßnahmen:

• Nutzung des Content-Filters in Verbindung mit dem BPjM-Modul. Der BPjM-Filter enthält eine offizielle Webseiten-Liste der deutschen Bundesprüfstelle für jugendgefährdende Medien (BPjM), deren Inhalte offiziell als jugendgefährdend eingestuft werden. Einen Knowledge Base Artikel zur Konfiguration des BPjM-Filters finden Sie hier.
• Awareness: Über den sensiblen Umgang mit verdächtigen E-Mails mit einem besonderen Augenmerk auf das Thema Phishing sollte erneut ganz deutlich hingewiesen werden.

Fragen können an die E-Mail-Adresse faq_utm@lancom.de oder telefonisch an +49 (0) 2405 / 49 93 6-210 gerichtet werden. Die Antworten werden in Form von FAQs auf unserer Webseite veröffentlicht.

Der Sicherheitsforscher Mathy Vanhoef hat am 27.03.2023 ein neues Paper mit dem Titel „Framing Frames“ veröffentlicht, in welchem er drei verschiedene WLAN-Sicherheitslücken beschreibt:

1. "Overriding the Victims Security Context / MAC address stealing attacks"
   
   LANCOM WLAN-Produkte mit LCOS und LCOS LX sind von diesem Verhalten betroffen. LANCOM Systems stuft diese Sicherheitslücke als gering ein, da ein potentieller Angreifer bereits mit entsprechenden Zugangsdaten in dem Netzwerk authentifiziert sein muss.
   
   LANCOM Systems empfiehlt vertrauenswürdige und nicht vertrauenswürdige WLAN-Clients durch Einsatz verschiedener SSIDs und Netzwerke voneinander zu trennen (siehe Beispiel-Konfiguration in einem WLAN-Controller Szenario). Außerdem kann in Szenarien mit einem einzelnen Access Point oder WLAN-Router der Angriff durch Aktivieren der Funktion “Protected Management Frames“ unterbunden werden (siehe Referenzhandbücher LCOS bzw. LCOS LX).
   
   Unabhängig davon prüfen wir jedoch die Umsetzung weiterer Sicherheitsmaßnahmen, um die grundsätzliche Ausführung dieses Angriffs zu unterbinden.
    
2. "Leaking frames from the Queue"
   
   LANCOM WLAN-Produkte mit LCOS und LCOS LX sind von diesem Verhalten nicht betroffen.
    
3. "Abusing the queue for Network Disruptions"
   
   Diese Sicherheitslücke basiert auf einer Schwachstelle des 802.11 Standards. LANCOM WLAN-Produkte mit LCOS und LCOS LX sind daher von diesem Verhalten betroffen.
   
   LANCOM Systems prüft die Umsetzung weiterer Sicherheitsmaßnahmen, um die grundsätzliche Ausführung dieses Angriffs zu unterbinden.

Weitergehende Informationen zu den einzelnen Schwachstellen haben wir für Sie in diesem Knowledge Base Artikel zusammengestellt.

Anfang Februar wurden einige Schwachstellen in OpenSSL veröffentlicht. Dadurch ist es unter Anderem möglich, bei aktivierter CRL-Prüfung Speicherinhalte auszulesen oder auch eine DoS-Attacke auszuführen (siehe OpenSSL Security Advisory).

LANCOM Produkte sind betroffen und es werden folgende Updates zur Verfügung gestellt:

• LCOS 10.72 SU2 - verfügbar ab 28.02.2023
• LCOS 10.50 RU10 - verfügbar seit 27.02.2023
• LCOS 10.42 SU10 – verfügbar ab 28.02.2023
• LCOS FX 10.11 Rel –  verfügbar ab 29.03.2023
• LCOS LX 6.10 Rel – verfügbar ab 28.02.2023
• LCOS LX 5.38 SU1 – verfügbar ab 16.03.2023
• LCOS LX 5.36 SU2 – verfügbar ab 09.03.2023
• LCOS SX 4.20 REL - verfügbar ab 23.03.2023
• LCOS SX 5.20 RU3 - verfügbar ab 15.06.2023

Folgende LANCOM Produkte sind nicht betroffen:

• LANCOM Management Cloud
• Geräte mit LCOS SX 3.34 RU2

Hinweis zu LCOS LX und LCOS SX:

Diese sind nicht von der als "Hoch" bewerteten Schwachstelle CVE-2023-0286 betroffen, da die relevante Funktion nicht verwendet wird. Die restlichen Schwachstellen sind als "Moderat" eingestuft und werden im nächsten Update (s.o.) geschlossen. Dieser Hinweis wird aktualisiert, sobald die Veröffentlichungstermine feststehen.

Hinweis zum Bezug der Updates:

• Die Firmware-Dateien für LCOS, LCOS LX und LCOS SX stehen als Download auf unserer Webseite zur Verfügung. 
• Die Firmware-Dateien für LCOS FX stehen in unserem Lizenz-Portal zur Verfügung.

Update 15.02.2023:

Seit einigen Tagen gibt es Medienberichte, welche sich auf diese Sicherheitslücke beziehen und somit den Eindruck erwecken können, als würde diese erneut auftreten. Es handelt sich dabei aber lediglich um ein Update im SUSE Linux Kernel.

Die Sicherheitslücke ist auf LANCOM Access Points und WLAN-Routern mit den in der ursprünglichen Meldung erwähnten Firmware-Versionen behoben.

Ursprüngliche Meldung vom 11.05.2021:

Der Sicherheitsforscher Mathy Vanhoef hat in einem Bericht Schwachstellen im WLAN Standard IEEE 802.11 sowie dessen Implementierungen veröffentlicht. Diese Sicherheitslücken betreffen weite Teile der WLAN-Industrie. Sicherheitslücken in den Funktionen "Frame Aggregation" & "Frame Fragmentation":

LANCOM Produkte sind von folgenden CVEs betroffen:

• CVE-2020-24588
• CVE-2020-26144
• CVE-2020-26146
• CVE-2020-26147

Diese Sicherheitslücken sind bei LANCOM WLAN-Produkten, welche mit LCOS betrieben werden, ab LCOS 10.42 REL behoben. Zusätzlich ist der entsprechende Sicherheits-Patch in folgenden LCOS-Versionen enthalten:

• LCOS 10.34 RU3
• LCOS 10.20 SU11
• LCOS 10.12 SU16 (nur für Geräte, welche keine neuere Firmware mehr unterstützen)

Bei LANCOM Access Points des Typs LW-500 sind die Sicherheitslücken ab LCOS LX 5.30 RU2 behoben. Für Wi-Fi 6-fähige LANCOM Access Points des Typs LW-600 und LX-6400/6402 ist der Sicherheits-Patch ab der Firmware-Version 5.30 SU3 verfügbar. LANCOM Systems empfiehlt, ein Update auf die genannten Firmware-Versionen durchzuführen. Die LCOS Firmware 10.12 SU16 sowie LCOS LX 5.30 SU3 können Sie ab dem 12. Mai 2021 kostenlos von der LANCOM Webseite herunterladen. In der LANCOM Management Cloud sind alle Patches bereits jetzt bzw. umgehend nach der Veröffentlichung verfügbar. Wenn Sie den Auto-Updater von LANconfig verwenden, kann die Verfügbarkeit etwas Zeit in Anspruch nehmen. Für ältere Produkte, welche diesen Sicherheits-Patch nicht mehr erhalten, empfehlen wir mittelfristig die Migration auf neue WLAN-Technologien.

Im Oktober 2022 wurden mehrere Sicherheitslücken im Linux Kernel veröffentlicht (CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722), die das Ausführen beliebigen Codes ermöglichen (Remote Code Execution) oder zu einem Geräte-Absturz führen können (Denial of Service).

LANCOM WLAN-Router und Access Points sind von diesem Verhalten nicht betroffen.

In den Medien wird derzeit über mehrere Schwachstellen in OpenSSL 3.0 berichtet, welche vom "OpenSSL Project" mit dem am 02.11.2022 veröffentlichten Security Patch 3.0.7 behoben sind.

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) und Geräte sowie der Advanced VPN Client und die LANtools nicht von den Schwachstellen betroffen sind.

Die LMC befindet sich derzeit noch in der Evaluierung. Sobald hierzu ein Ergebnis vorliegt, wird es in dieser Meldung publiziert.

LANCOM Systems nimmt die Rückmeldungen seiner Kunden zu Qualität und Sicherheit seiner Produkte sehr ernst und so konnte durch eine Kundenrückmeldung ein Verhalten bei einem LANCOM Switch des Typs GS-2352(P) festgestellt werden. Dies betrifft ausschließlich den GS-2352(P), nicht aber die restlichen Geräte der GS-23xx Serie oder andere Switch-Baureihen.

Sendet ein an den Switch-Ports 1 - 24 angeschlossenes Gerät ein Paket an den Switch, wird dieses auch an den Ports 25 – 50 ausgegeben. Dabei sind nur für den Switch bestimmte Pakete betroffen, nicht aber der Datenverkehr für andere Netzwerk-Teilnehmer.

LANCOM Systems empfiehlt daher beim Betrieb und in der Verwaltung seiner Produkte stets sichere und verschlüsselte Kommunikationsprotokolle einzusetzen. Auf einem Switch der GS-23xx Serie sind mit Werkseinstellungen verschiedene unsichere Protokolle nutzbar. LANCOM Systems empfiehlt daher dringend, falls nicht bereits durchgeführt, die Sicherheits-Einstellungen für den Zugriff auf den Switch anzupassen. Die Vorgehensweise ist in diesem Knowledge Base Artikel beschrieben.

In den Medien wurde über eine Schwachstelle in der OpenSSL-Bibliothek berichtet, welche es einem Angreifer ermöglicht, mit Hilfe von präparierten TLS-Zertifikaten auf dem Zielsystem eine DoS-Attacke durchzuführen (siehe CVE-2022-0778).

LANCOM Produkte sind von dieser Schwachstelle aufgrund der eingesetzten OpenSSL-Versionen betroffen. Es wird empfohlen, auf die folgenden Betriebssystem-Versionen zu aktualisieren:

• LCOS 10.50 ab Version RU7
• LCOS 10.42 ab Version RU7
• LCOS 10.34 SU5
• LCOS 10.32.0031 PR (BSI BSZ)
• LCOS FX 10.7 ab Version RU2
• LCOS LX ab Version 5.36 REL
• LCOS SX ab den Versionen 3.34 REL & 4.00 RU7
• LCOS SX ab Version 5.20 RU1

Alle Betriebssystem-Versionen stehen als Download auf unserer Webseite zur Verfügung.

Die LANCOM Management Cloud (LMC) wurde bereits mit einem Sicherheitspatch versehen.

Bei privaten LMC-Instanzen können jeweils die Hostsysteme betroffen sein, nicht die LANCOM Produkte selbst. Hier empfehlen wir, die Systeme mit entsprechenden Patches zu sichern.

Die Medien berichten über eine kritische Schwachstelle im Open-Source-Framework der Java-Plattform „Spring“, welche als "Spring4Shell" bekannt geworden ist (CVE-2022-22965).

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) sowie die LANCOM Management Cloud und der LANCOM Advanced VPN Client nicht von der Schwachstelle betroffen sind.

In den Medien wird über eine Sicherheitslücke im NetUSB-Kernelmodul des Herstellers KCodes berichtet, welche von Angreifern zur Remote-Codeausführung und auch zur Übernahme der Systeme ausgenutzt werden kann (siehe CVE-2021-45388). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von dieser Sicherheitslücke betroffen sind.

In den Medien wird über eine Sicherheitslücke in der Logging-Bibliothek "Log4j" informiert, welche es einem Angreifer ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen (siehe CVE-2021-44228 sowie Meldung des BSI). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von der Sicherheitslücke betroffen sind. Bei Rückfragen wenden Sie sich bitte an den LANCOM Support.