Allgemeine Sicherheitshinweise

05.09.2018

Konfiguration von LANCOM Geräten per WEBconfig über unverschlüsseltes HTTP-Protokoll

Am 5. Oktober 2018 wurde in den Medien über die Angreifbarkeit von Netzwerk-Komponenten und Technologien über unverschlüsselte HTTP-Weboberflächen in Verbindung mit Webbrowsern, welche Login-Daten speichern, berichtet (siehe betanews-Artikel).

 

Die WEBconfig-Oberfläche, mit welcher LANCOM Geräte konfiguriert werden können, sollte immer über das verschlüsselte HTTPS-Protokoll geöffnet werden. Beim Öffnen des WEBconfig über HTTP erhalten Sie bei der Anmeldung eine entsprechende Warnmeldung sowie einen Link zur HTTPS-Variante. Wir empfehlen zudem, die Login-Daten niemals in den Webbrowsern zu speichern.

 

Ab der LCOS-Version 10.20 können Sie eine automatische Umleitung des WEBconfig-Zugriffs auf HTTPS konfigurieren. Informationen erhalten Sie in diesem Knowledge Base Dokument.

15.08.2018

Berichte über die Sicherheitslücke "Foreshadow"

(Aktualisierung vom 17.08.2018)

Am 14. August 2018 berichteten die Medien von einer Sicherheitslücke,"Foreshadow", die besonders für Cloud-Server kritisch ist.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates. Einen Artikel mit Handlungsempfehlungen stellen wir in unserer Knowledge Base zur Verfügung.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems ihre Systeme sofort nach Verfügbarkeit eines Hersteller-Patch auf den aktuellen Stand.

09.08.2018

Neue Berichte über Schwachstelle in WPA2-Verschlüsselung

Am 07. August 2018 sind erste Medienberichte über eine augenscheinlich neue Schwachstelle in der WPA2-Verschlüsselung von WLAN-Netzwerken erschienen. Die dort geschilderte Methode basiert jedoch nicht auf einer neuen Sicherheitslücke, sondern stellt lediglich einen vereinfachten Angriff auf eine bereits bekannte WPA2-Schwachstelle dar.

 

Grundsätzlich empfehlen wir daher allen Kunden, die LANCOM Geräte mit WPA2-PSK betreiben, ein möglichst komplexes Passwort zu verwenden. LANCOM Installationen mit WPA2-Enterprise sind von dieser Angriffsmöglichkeit NICHT betroffen.

 

Darüber hinaus bereiten wir derzeit die Einführung des neuen WLAN-Sicherheitsstandards WPA3 vor. Dieser wird noch im Laufe des Sommers mit dem Release von LCOS 10.20 verfügbar gemacht.

25.05.2018

VPNFilter: LANCOM Geräte sind vor Schadsoftware geschützt

Am 23. Mai 2018 berichteten die Medien von einer Infektion von mindestens 500.000 Routern und Speichergeräten mit einer Schadsoftware in mindestens 54 Ländern.

 

Nach unserer bisherigen umfassenden Analyse sind LANCOM Geräte davon nicht betroffen, da LANCOM Komponenten ein eigenes Betriebssystem (LCOS) nutzen.

 

Wir empfehlen, die Software von Linux-basierten Host-Systemen für virtuelle Maschinen, die z.b. für den LANCOM vRouter eingesetzt werden und direkt aus dem Internet erreichbar sind, auf den aktuellen Stand zu bringen.

 

Quellen (externe Links):

Reuters

Cisco-Talos

08.01.2018

Spectre und Meltdown: LANCOM Geräte sind nicht betroffen

(Aktualisierung vom 08.01.2018)

Am 04. Januar 2018 berichteten die Medien von einer gravierenden Sicherheitslücke in Prozessoren unterschiedlicher Hersteller, durch die Angreifer sensible Daten auslesen können.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden können, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems die LANCOM Management Cloud (LMC) -Systeme sofort auf den aktuellen Stand, sobald ein Herstellerpatch verfügbar ist. Dieser Prozess hat bereits am 05.01.2018 begonnen und aktuell sind alle verfügbaren Patches eingespielt.