Allgemeine Sicherheitshinweise

05.08.2019

Update zur Veröffentlichung zu Schwachstellen in WPA3-Personal™ („Dragonblood“) / CERT VU#871675

Der Sicherheitsforscher Mathy Vanhoef hat im August 2019 eine Aktualisierung in seinem Paper "Dragonblood: A Security Analysis of WPA3’s SAE Handshake" vorgenommen. Diese Aktualisierung beschreibt eine weitere Möglichkeit von Seitenkanalangriffen durch die Verwendung von Brainpool-Kurven.

 

LANCOM Produkte sind von dieser Angriffsmöglichkeit nicht betroffen, da Brainpool-Kurven nicht eingesetzt werden.

In den Medien wurde heute über mehrere Schwachstellen berichtet, durch welche Linux-basierte Systeme zum Absturz gebracht werden können (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479).

 

LANCOM Systems stuft das Risiko dieser Sicherheitslücken in Bezug auf LANCOM Produkte als gering ein.

 

Die folgenden LANCOM Produkte sind möglicherweise betroffen:

 

- LANCOM Unified Firewalls

- LANCOM LW-500

 

Die LANCOM Management Cloud wurde bereits mit einem Patch aktualisiert.

 

Für die anderen genannten Produkte wird LANCOM Systems in Kürze entsprechende Firmware-Updates mit Sicherheitspatches zur Verfügung stellen (siehe folgendes Knowledge Base Dokument.

 

Linux-basierte Host-Systeme, auf denen virtuelle Produkte, z.B. LANCOM vRouter betrieben werden können, sind möglicherweise ebenfalls betroffen. Hier empfehlen wir baldmöglichst entsprechende Sicherheitspatches aufzuspielen.

18.04.2019

CERT-Veröffentlichung zu Schwachstellen in Broadcom WLAN-Modulen (CERT VU#166939)

Am 17. April 2019 veröffentlichte das US-CERT einen Bericht über Schwachstellen in WLAN-Modulen des Herstellers Broadcom (CERT VU#166939).

 

LANCOM WLAN-Router und –Access Points sind von diesen Schwachstellen nicht betroffen, da in den Geräten keine Broadcom WLAN-Module verwendet werden.

12.04.2019

CERT-Veröffentlichung zur unsicheren Speicherung von Session Cookies in VPN-Anwendungen (CERT VU#192371)

Das US-CERT berichtet in seiner Veröffentlichung vom 11. April 2019 (CERT VU#192371) über eine Sicherheitslücke in VPN-Applikationen. Ursächlich ist hierbei die unsichere bzw. unverschlüsselte Speicherung von Session Cookies im Arbeitsspeicher oder in Log-Dateien auf dem Endpunkt eines VPN-Benutzers.

 

Wenn ein Angreifer Zugriff auf den Endpunkt eines VPN-Benutzers hat oder das Session Cookie rausfiltert, kann er die VPN-Sitzung wiederholen und andere Authentifizierungsmethoden umgehen. Ein Angreifer hätte dann Zugriff auf dieselben Anwendungen, die der Benutzer über seine VPN-Sitzung ausführt.

 

LANCOM Produkte sind von dieser Sicherheitslücke nicht betroffen, da keine Session Cookies verwendet werden.

15.04.2019

Veröffentlichung zu Schwachstellen in WPA3-Personal™ („Dragonblood“) / CERT VU#871675

(Aktualisierung vom 15.04.2019)

 

Am 12.04.2019 hat das US-CERT einen Bericht über unterschiedliche Schwachstellen beim WLAN-Sicherheitsstandard WPA3-Personal™ (CERT VU#871675) veröffentlicht. Dieser Bericht umfasst insgesamt 6 Schwachstellen.

 

Die kritischste Lücke beschreibt die Möglichkeit von Seitenkanalangriffen. Diese Gefahr besteht bei LANCOM nicht, da ein potentieller Angreifer nicht in der Lage ist, unautorisierten Code auf einem LANCOM Gerät laufen zu lassen. Es sind somit keine Maßnahmen seitens der Nutzer nötig.

 

Daneben beschreibt der Bericht eine Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus. Dabei handelt es sich um eine Schwachstelle im Standard selbst, sie ist nicht herstellerspezifisch. Das beschriebene Verhalten kann somit endgültig nur durch eine Weiterentwicklung von WPA3-Personal™ behoben werden.

 

Bis diese verfügbar ist, kann die Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus über einen Workaround neutralisiert werden. Diesen haben wir in diesem Knowledge Base Dokument beschrieben.

 

Die weiteren beschriebenen Schwachstellen sind für LANCOM Nutzer nicht relevant, da die ihnen zugrundeliegenden, optionalen Funktionen bei LANCOM nicht implementiert sind.

 

Die Schwachstellen wurden vom Sicherheitsforscher Mathy Vanhoef entdeckt und in seinem Paper "Dragonblood: A Security Analysis of WPA3’s SAE Handshake" beschrieben.

05.10.2018

Konfiguration von LANCOM Geräten per WEBconfig über unverschlüsseltes HTTP-Protokoll

Am 5. Oktober 2018 wurde in den Medien über die Angreifbarkeit von Netzwerk-Komponenten und Technologien über unverschlüsselte HTTP-Weboberflächen in Verbindung mit Webbrowsern, welche Login-Daten speichern, berichtet (siehe betanews-Artikel).

 

Die WEBconfig-Oberfläche, mit welcher LANCOM Geräte konfiguriert werden können, sollte immer über das verschlüsselte HTTPS-Protokoll geöffnet werden. Beim Öffnen des WEBconfig über HTTP erhalten Sie bei der Anmeldung eine entsprechende Warnmeldung sowie einen Link zur HTTPS-Variante. Wir empfehlen zudem, die Login-Daten niemals in den Webbrowsern zu speichern.

 

Ab der LCOS-Version 10.20 können Sie eine automatische Umleitung des WEBconfig-Zugriffs auf HTTPS konfigurieren. Informationen erhalten Sie in diesem Knowledge Base Dokument.

15.08.2018

Berichte über die Sicherheitslücke "Foreshadow"

(Aktualisierung vom 17.08.2018)

Am 14. August 2018 berichteten die Medien von einer Sicherheitslücke,"Foreshadow", die besonders für Cloud-Server kritisch ist.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates. Einen Artikel mit Handlungsempfehlungen stellen wir in unserer Knowledge Base zur Verfügung.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems ihre Systeme sofort nach Verfügbarkeit eines Hersteller-Patch auf den aktuellen Stand.