Allgemeine Sicherheitshinweise

19.10.2017

Wichtiger Sicherheitshinweis zu KRACK im Kontext von P2P und WDS

(Aktualisierung vom 20.10.2017 – Sicherheits-Updates verfügbar!)

Neben den üblichen Betriebsmodi innerhalb von Gebäuden ermöglichen LANCOM Access Points den Aufbau von Richtfunkstrecken oder Wireless Distribution Systems (WDS). Entsprechende Point-to-Point- bzw. Point-to-Multipoint-Verbindungen (P2P) kommen in der Regel bei Outdoor-Installationen zum Einsatz, zum Beispiel zur Breitbanderschließung oder Vernetzung von Freiflächen.

 

Hierbei wird dasselbe Handshake-Verfahren genutzt wie bei der Verbindung eines Access Points mit einem WLAN-Client, so dass prinzipiell auch diese Installationen anfällig für die WPA-2-Schwachstelle sind. Allerdings ist die Durchführung des Angriffs u. a. wegen des fehlenden Roamings deutlich komplexer, sodass die reale Gefahr als äußerst gering einzuschätzen ist. Dennoch sollten auch Access Points in P2P- und WDS-Installationen aktualisiert werden, sobald Patches zur Verfügung stehen.

 

Bitte installieren Sie die entsprechenden Sicherheits-Updates, die die genannten Schwachstellen effektiv beheben (CVE-2017-13077, CVE-2017-13080).

16.10.2017

KRACK: Wichtiger Hinweis zur Sicherheitslücke in WPA-2

(Aktualisierung vom 20.10.2017 – Sicherheits-Updates verfügbar!)

Am Wochenende wurden erste Hinweise auf eine „KRACK“ getaufte Sicherheitslücke in der WPA-2-Verschlüsselung von WLAN-Produkten bekannt. Unter eng definierten Rahmenbedingungen kann es dazu kommen, dass WLAN-Daten unbefugt mitgeschnitten werden können.

 

Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.

 

Bei dem Angriff kann die Verbindung genau eines Clients mit seinem Access Point bzw. WLAN-Router mitgeschnitten werden (Unicast). Gruppenschlüssel für Broadcast- und Multicast-Traffic sind prinzipiell ebenfalls angreifbar, allerdings werden diese oftmals gefiltert, in Unicast gewandelt und enthalten darüber hinaus i.d.R. keine sensitiven Daten.

 

802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von KRACK nicht betroffen. Auch werden diese Funktionen weder von LANconfig, WEBconfig noch durch die LANCOM Management Cloud standardmäßig aktiviert.

 

Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für KRACK sind. Dasselbe gilt für 802.11ac Access Points bzw. Router im Station-Mode sowie bei P2P-Strecken.

 

Bitte installieren Sie die entsprechenden Sicherheits-Updates, die die genannten Schwachstellen effektiv beheben (CVE-2017-13082, CVE-2017-13077, CVE-2017-13080)

 

Von den weiteren Schwachstellen im Kontext vom KRACK sind LANCOM Produkte nicht betroffen.

 

Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden. Allerdings gefährdet ein unsicherer Client keine anderen Clients.

 

Test zur Identifizierung betroffener LANCOM-Geräte

Weiterführende FAQ zum Thema KRACK

Geräte- und Firmware-Übersicht

Download LCOS-Sicherheits-Updates:

 

19.06.2017

Cherry Blossom: LANCOM WLAN-Router & Access Points sind sicher vor CIA-Lauschangriff

Wikileaks hat am Donnerstag ein Spionagewerkzeug der CIA mit dem Codenamen “Cherry Blossom“ enthüllt. Durch das Aufspielen einer manipulierten Firmware wurden die WLAN-Geräte zahlreicher Hersteller kompromittiert.

 

Gemäß den nun veröffentlichten Unterlagen ist Cherry Blossom in der Lage, WLAN-Router und Access Points auszuspionieren und sensible Daten und Informationen wie zum Beispiel Passwörter an Dritte weiterzuleiten.

 

LANCOM WLAN Router und Access Points sind nicht von “Cherry Blossom“ betroffen. Cherry Blossom ist ein Linux-basiertes Programm, das ausschließlich auf entsprechenden Geräten laufen kann. Alle LANCOM WLAN-Geräte nutzen das LANCOM Closed-Source Betriebssystem LCOS, so dass Cherry Blossom auf LANCOM Geräten nicht ausgeführt werden kann.

 

Weitere Informationen zu Cherry Blossom sowie eine Liste der betroffenen Hersteller und Modelle finden Sie auf der entsprechenden Wikileaks-Seite (Englisch): https://wikileaks.org/vault7/#Cherry%20Blossom

01.12.2016

Weltweiter Hackerangriff auf DSL-Geräte: LANCOM-Router nicht betroffen

UPDATE 01.12.2016

In den vergangenen Tagen berichteten die Medien über einen offenbar weltweiten Angriff auf DSL-Router über den Fernwartungsport TR-069. Im Zuge dessen kam es bei Kunden der Deutschen Telekom zu massiven Verbindungsausfällen.

 

LANCOM Router waren von diesen Angriffen nicht betroffen. Das Fernwartungsprotokoll TR-069 wird von unseren Routern standardmäßig nicht unterstützt. Es kommt nur auf expliziten Kundenwunsch zum Einsatz. Auch hier gab es nach unseren Erkenntnissen keinerlei Beeinträchtigungen.

 

Detaillierte Informationen zu dem aktuellen Angriff und betroffenen Router-Modellen sind bei heise verfügbar.

17.02.2016

glibc-Sicherheitslücke: LANCOM Router und Switche sind sicher

Derzeit wird in den Medien von der glibc-Sicherheitslücke in den Linux-Netzwerkfunktionen berichtet.

 

LANCOM Router sind von dieser Sicherheitslücke nicht betroffen, da sie kein Linux-basiertes Betriebssystem nutzen. Auf den LANCOM Routern kommt ausschließlich das Closed Source Betriebssystem LCOS zum Einsatz. Die glibc-Bibliothek wird daher in LANCOM Routern nicht verwendet und zur DNS-Auflösung ein proprietäres Verfahren eingesetzt. Bei LANCOM Switches kommt die glibc-Bibliothek ebenfalls nicht zum Einsatz.

 

Da die LANCOM Management Systeme Large Scale Monitor (LSM) und Large Scale Rollout (LSR) unter Linux betrieben werden, empfiehlt LANCOM Systems eine Aktualisierung der linux-eigenen glibc-Bibliothek auf diesen Systemen. Eine Anleitung erhalten Sie in folgendem KnowledgeBase-Artikel.

19.01.2016

UPDATE Sicherheitshinweis: Potenzielle Angreifbarkeit von SSH- und SSL-Schlüsseln

Ende November 2015 berichtete heise online über die potenzielle Angreifbarkeit von SSH- und SSL-Schlüsseln:

 

http://www.heise.de/newsticker/meldung/House-of-Keys-Millionen-von-Geraeten-mit-kompromittierten-Krypto-Schluesseln-im-Netz-3025416.html.

 

Zusammengefasst sind Millionen von IT-Produkten potenziell durch sogenannte "Man-in-the-Middle"-Attacken bei einem Fernzugriff auf ein Gerät über die Management-Protokolle SSH und SSL angreifbar. Dabei kann ein Angreifer, der den entsprechenden Datenverkehr (Konfigurations- und Zugangsdaten) mitschneiden kann, in die Lage versetzt werden, die übertragenen Daten zu entschlüsseln. Ursache hierfür ist, dass die zugrunde liegenden Schlüssel und Zertifikate wie bisher branchenüblich nicht individuell je Gerät, sondern identisch über Produktfamilien ausgeprägt waren. Ein solcher Angriff ist nicht trivial durchführbar und an weitere Randbedingungen geknüpft.

 

Es handelt sich hierbei um ein branchenweites Sicherheitsproblem, von dem alle namhaften IT-Hersteller betroffen sind - auch LANCOM Systems.

 

LANCOM Systems stellt LCOS Security Updates zur Verfügung, welche eine automatische Erzeugung geräteindividueller SSH- und SSL-Schlüssel ausführen, falls ein solcher Schlüssel nicht bereits im Gerät vorhanden ist.

 

Nach aktuellem Kenntnisstand wurde diese Schwachstelle noch zu keinem Angriff genutzt. LANCOM Systems stuft die Gefährdung dennoch als mittel ein und empfiehlt zu prüfen, ob Ihre Produkte potenziell betroffen sind und die in diesem KnowledgeBase-Artikel beschriebenen Maßnahmen umzusetzen.

 

Dieser KnowledgeBase-Artikel enthält eine Auflistung aller LANCOM Geräte und gibt Handlungsempfehlungen zur Erzeugung individueller SSH- & SSL-Schlüssel.

 

Diese beschriebenen Maßnahmen beheben die Schwachstelle.