Sicherheitshinweise

Anfang Februar wurden einige Schwachstellen in OpenSSL veröffentlicht. Dadurch ist es unter Anderem möglich, bei aktivierter CRL-Prüfung Speicherinhalte auszulesen oder auch eine DoS-Attacke auszuführen (siehe OpenSSL Security Advisory).

LANCOM Produkte sind betroffen und es werden schnellstmöglich Updates zur Verfügung gestellt:

• LCOS 10.72 SU2 - verfügbar ab 28.02.2023
• LCOS 10.50 RU10 - verfügbar seit 27.02.2023
• LCOS 10.42 SU10 – verfügbar ab 28.02.2023
• LCOS FX 10.11 Rel – März 2023
• LCOS LX 6.10 Rel – verfügbar ab 28.02.2023
• LCOS LX 5.38 SU1 – verfügbar ab 16.03.2023
• LCOS LX 5.36 SU2 – verfügbar ab 09.03.2023
• LCOS SX 4.20 REL - März 2023
• LCOS SX 5.20 RU3 - April 2023

Folgende LANCOM Produkte sind nicht betroffen:

• LANCOM Management Cloud
• Geräte mit LCOS SX 3.34 RU2

Hinweis zu LCOS LX und LCOS SX:

Diese sind nicht von der als "Hoch" bewerteten Schwachstelle CVE-2023-0286 betroffen, da die relevante Funktion nicht verwendet wird. Die restlichen Schwachstellen sind als "Moderat" eingestuft und werden im nächsten Update (s.o.) geschlossen. Dieser Hinweis wird aktualisiert, sobald die Veröffentlichungstermine feststehen.

Hinweis zum Bezug der Updates:

• Die Firmware-Dateien für LCOS, LCOS LX und LCOS SX stehen als Download auf unserer Webseite zur Verfügung. 
• Die Firmware-Dateien für LCOS FX stehen in unserem Lizenz-Portal zur Verfügung.

Uns erreichte am 22.02.2023 die Nachricht, dass unser OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls in die Insolvenz gegangen ist, sodass der operative Betrieb beider Dienste nicht mehr störungsfrei gewährleistet ist. Die Services sind aktuell online und unter Beobachtung.

Nicht betroffen sind: Anti-Virus und Anti-Malware, Applikationsfilter, IDS / IPS und alle Funktionen der LANCOM UF Basic License

Ebenfalls ist der Content Filter von LCOS-basierten Routern nicht von diesem Sachverhalt betroffen.
 

Auswirkungen eines potentiellen Ausfalls:

Sollte es zum Ausfall der Content-Filtering- und Anti-Spam-Services kommen, hätte dies folgende Auswirkungen:

• Die Firewall verhält sich, als ob beide Dienste abgeschaltet wären.
• Der Aufruf von Webseiten ist ohne Einschränkungen möglich.
• E-Mails werden ohne Spam-Prüfung und Filterung durchgeleitet.

Vorbeugende Maßnahmen:

• Nutzung des Content-Filters in Verbindung mit dem BPjM-Modul. Der BPjM-Filter enthält eine offizielle Webseiten-Liste der deutschen Bundesprüfstelle für jugendgefährdende Medien (BPjM), deren Inhalte offiziell als jugendgefährdend eingestuft werden. Einen Knowledge Base Artikel zur Konfiguration des BPjM-Filters finden Sie hier.
• Awareness: Über den sensiblen Umgang mit verdächtigen E-Mails mit einem besonderen Augenmerk auf das Thema Phishing sollte erneut ganz deutlich hingewiesen werden.

Unser weiteres Vorgehen:

• Aktuelle Informationen im Falle eines Ausfalls publizieren wir hier auf dieser Seite.
• Voraussichtlich im März 2023 werden wir mit der Firmware Release LCOS FX 10.11 den neuen Dienst zur Verfügung stellen. Ein Update auf dieses Release ist notwendig, um die Firewall mit dem Funktionsumfang Content-Filtering- und Anti-Spam-Services zu betreiben.

Fragen können an die E-Mail-Adresse faq_utm@lancom.de oder telefonisch an +49 (0) 2405 / 49 93 6-210 gerichtet werden. Die Antworten werden in Form von FAQs auf unserer Webseite veröffentlicht.

Update 15.02.2023:

Seit einigen Tagen gibt es Medienberichte, welche sich auf diese Sicherheitslücke beziehen und somit den Eindruck erwecken können, als würde diese erneut auftreten. Es handelt sich dabei aber lediglich um ein Update im SUSE Linux Kernel.

Die Sicherheitslücke ist auf LANCOM Access Points und WLAN-Routern mit den in der ursprünglichen Meldung erwähnten Firmware-Versionen behoben.

Ursprüngliche Meldung vom 11.05.2021:

Der Sicherheitsforscher Mathy Vanhoef hat in einem Bericht Schwachstellen im WLAN Standard IEEE 802.11 sowie dessen Implementierungen veröffentlicht. Diese Sicherheitslücken betreffen weite Teile der WLAN-Industrie. Sicherheitslücken in den Funktionen "Frame Aggregation" & "Frame Fragmentation":

LANCOM Produkte sind von folgenden CVEs betroffen:

• CVE-2020-24588
• CVE-2020-26144
• CVE-2020-26146
• CVE-2020-26147

Diese Sicherheitslücken sind bei LANCOM WLAN-Produkten, welche mit LCOS betrieben werden, ab LCOS 10.42 REL behoben. Zusätzlich ist der entsprechende Sicherheits-Patch in folgenden LCOS-Versionen enthalten:

• LCOS 10.34 RU3
• LCOS 10.20 SU11
• LCOS 10.12 SU16 (nur für Geräte, welche keine neuere Firmware mehr unterstützen)

Bei LANCOM Access Points des Typs LW-500 sind die Sicherheitslücken ab LCOS LX 5.30 RU2 behoben. Für Wi-Fi 6-fähige LANCOM Access Points des Typs LW-600 und LX-6400/6402 ist der Sicherheits-Patch ab der Firmware-Version 5.30 SU3 verfügbar. LANCOM Systems empfiehlt, ein Update auf die genannten Firmware-Versionen durchzuführen. Die LCOS Firmware 10.12 SU16 sowie LCOS LX 5.30 SU3 können Sie ab dem 12. Mai 2021 kostenlos von der LANCOM Webseite herunterladen. In der LANCOM Management Cloud sind alle Patches bereits jetzt bzw. umgehend nach der Veröffentlichung verfügbar. Wenn Sie den Auto-Updater von LANconfig verwenden, kann die Verfügbarkeit etwas Zeit in Anspruch nehmen. Für ältere Produkte, welche diesen Sicherheits-Patch nicht mehr erhalten, empfehlen wir mittelfristig die Migration auf neue WLAN-Technologien.

Im Oktober 2022 wurden mehrere Sicherheitslücken im Linux Kernel veröffentlicht (CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722), die das Ausführen beliebigen Codes ermöglichen (Remote Code Execution) oder zu einem Geräte-Absturz führen können (Denial of Service).

LANCOM WLAN-Router und Access Points sind von diesem Verhalten nicht betroffen.

In den Medien wird derzeit über mehrere Schwachstellen in OpenSSL 3.0 berichtet, welche vom "OpenSSL Project" mit dem am 02.11.2022 veröffentlichten Security Patch 3.0.7 behoben sind.

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) und Geräte sowie der Advanced VPN Client und die LANtools nicht von den Schwachstellen betroffen sind.

Die LMC befindet sich derzeit noch in der Evaluierung. Sobald hierzu ein Ergebnis vorliegt, wird es in dieser Meldung publiziert.

LANCOM Systems nimmt die Rückmeldungen seiner Kunden zu Qualität und Sicherheit seiner Produkte sehr ernst und so konnte durch eine Kundenrückmeldung ein Verhalten bei einem LANCOM Switch des Typs GS-2352(P) festgestellt werden. Dies betrifft ausschließlich den GS-2352(P), nicht aber die restlichen Geräte der GS-23xx Serie oder andere Switch-Baureihen.

Sendet ein an den Switch-Ports 1 - 24 angeschlossenes Gerät ein Paket an den Switch, wird dieses auch an den Ports 25 – 50 ausgegeben. Dabei sind nur für den Switch bestimmte Pakete betroffen, nicht aber der Datenverkehr für andere Netzwerk-Teilnehmer.

LANCOM Systems empfiehlt daher beim Betrieb und in der Verwaltung seiner Produkte stets sichere und verschlüsselte Kommunikationsprotokolle einzusetzen. Auf einem Switch der GS-23xx Serie sind mit Werkseinstellungen verschiedene unsichere Protokolle nutzbar. LANCOM Systems empfiehlt daher dringend, falls nicht bereits durchgeführt, die Sicherheits-Einstellungen für den Zugriff auf den Switch anzupassen. Die Vorgehensweise ist in diesem Knowledge Base Artikel beschrieben.

In den Medien wurde über eine Schwachstelle in der OpenSSL-Bibliothek berichtet, welche es einem Angreifer ermöglicht, mit Hilfe von präparierten TLS-Zertifikaten auf dem Zielsystem eine DoS-Attacke durchzuführen (siehe CVE-2022-0778).

LANCOM Produkte sind von dieser Schwachstelle aufgrund der eingesetzten OpenSSL-Versionen betroffen. Es wird empfohlen, auf die folgenden Betriebssystem-Versionen zu aktualisieren:

• LCOS 10.50 ab Version RU7
• LCOS 10.42 ab Version RU7
• LCOS 10.34 SU5
• LCOS 10.32.0031 PR (BSI BSZ)
• LCOS FX 10.7 ab Version RU2
• LCOS LX ab Version 5.36 REL
• LCOS SX ab den Versionen 3.34 REL & 4.00 RU7
• LCOS SX ab Version 5.20 RU1

Alle Betriebssystem-Versionen stehen als Download auf unserer Webseite zur Verfügung.

Die LANCOM Management Cloud (LMC) wurde bereits mit einem Sicherheitspatch versehen.

Bei privaten LMC-Instanzen können jeweils die Hostsysteme betroffen sein, nicht die LANCOM Produkte selbst. Hier empfehlen wir, die Systeme mit entsprechenden Patches zu sichern.

Die Medien berichten über eine kritische Schwachstelle im Open-Source-Framework der Java-Plattform „Spring“, welche als "Spring4Shell" bekannt geworden ist (CVE-2022-22965).

Nach eingehender Analyse können wir mitteilen, dass LANCOM Betriebssysteme (alle LCOS Versionen) sowie die LANCOM Management Cloud und der LANCOM Advanced VPN Client nicht von der Schwachstelle betroffen sind.

In den Medien wird über eine Sicherheitslücke im NetUSB-Kernelmodul des Herstellers KCodes berichtet, welche von Angreifern zur Remote-Codeausführung und auch zur Übernahme der Systeme ausgenutzt werden kann (siehe CVE-2021-45388). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von dieser Sicherheitslücke betroffen sind.

In den Medien wird über eine Sicherheitslücke in der Logging-Bibliothek "Log4j" informiert, welche es einem Angreifer ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen (siehe CVE-2021-44228 sowie Meldung des BSI). Nach eingehender Analyse können wir mitteilen, dass LANCOM Produkte (Hardware, Software, LANCOM Management Cloud) und Betriebssysteme (alle LCOS Versionen) nicht von der Sicherheitslücke betroffen sind. Bei Rückfragen wenden Sie sich bitte an den LANCOM Support.