Allgemeine Sicherheitshinweise

15.08.2018

Berichte über die Sicherheitslücke "Foreshadow"

Am 14. August 2018 berichteten die Medien von einer Sicherheitslücke,"Foreshadow", die besonders für Cloud-Server kritisch ist.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden können, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates.

 

LANCOM prüft, ob bis zur Verfügbarkeit von Patches, weitere Schritte möglich sind, um die Sicherheitslücke zu umgehen. Dazu werden weitere Information bereitgestellt, sobald diese verfügbar sind.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems ihre Systeme sofort nach Verfügbarkeit eines Hersteller-Patch auf den aktuellen Stand.

09.08.2018

Neue Berichte über Schwachstelle in WPA2-Verschlüsselung

Am 07. August 2018 sind erste Medienberichte über eine augenscheinlich neue Schwachstelle in der WPA2-Verschlüsselung von WLAN-Netzwerken erschienen. Die dort geschilderte Methode basiert jedoch nicht auf einer neuen Sicherheitslücke, sondern stellt lediglich einen vereinfachten Angriff auf eine bereits bekannte WPA2-Schwachstelle dar.

 

Grundsätzlich empfehlen wir daher allen Kunden, die LANCOM Geräte mit WPA2-PSK betreiben, ein möglichst komplexes Passwort zu verwenden. LANCOM Installationen mit WPA2-Enterprise sind von dieser Angriffsmöglichkeit NICHT betroffen.

 

Darüber hinaus bereiten wir derzeit die Einführung des neuen WLAN-Sicherheitsstandards WPA3 vor. Dieser wird noch im Laufe des Sommers mit dem Release von LCOS 10.20 verfügbar gemacht.

 

25.05.2018

VPNFilter: LANCOM Geräte sind vor Schadsoftware geschützt

Am 23. Mai 2018 berichteten die Medien von einer Infektion von mindestens 500.000 Routern und Speichergeräten mit einer Schadsoftware in mindestens 54 Ländern.

 

Nach unserer bisherigen umfassenden Analyse sind LANCOM Geräte davon nicht betroffen, da LANCOM Komponenten ein eigenes Betriebssystem (LCOS) nutzen.

 

Wir empfehlen, die Software von Linux-basierten Host-Systemen für virtuelle Maschinen, die z.b. für den LANCOM vRouter eingesetzt werden und direkt aus dem Internet erreichbar sind, auf den aktuellen Stand zu bringen.

 

Quellen (externe Links):

Reuters

Cisco-Talos

08.01.2018

Spectre und Meltdown: LANCOM Geräte sind nicht betroffen

(Aktualisierung vom 08.01.2018)

Am 04. Januar 2018 berichteten die Medien von einer gravierenden Sicherheitslücke in Prozessoren unterschiedlicher Hersteller, durch die Angreifer sensible Daten auslesen können.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden können, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems die LANCOM Management Cloud (LMC) -Systeme sofort auf den aktuellen Stand, sobald ein Herstellerpatch verfügbar ist. Dieser Prozess hat bereits am 05.01.2018 begonnen und aktuell sind alle verfügbaren Patches eingespielt.

22.11.2017

LCOS Security Updates verfügbar

Ab sofort stehen LCOS Security Updates für LANCOM Router, Gateways, Access Points und WLAN-Controller zum Download bereit.

 

Das Update behebt eine sicherheitsrelevante Schwachstelle in den Management-Funktionen.

Potentiell betroffen sind alle Geräte, die mit folgenden Firmware-Versionen laufen:

 

  • LCOS 10.12 REL, SU1, RU2

  • LCOS 10.10 RU2, 10.10.0165 PR, 10.10 RU4

  • LCOS 9.24 RU6, SU7, RU8

 

Für diese Geräte wird das Update empfohlen. Alle anderen Versionen sind nicht betroffen.

19.10.2017

Wichtiger Sicherheitshinweis zu KRACK im Kontext von P2P und WDS

(Aktualisierung vom 20.10.2017 – Sicherheits-Updates verfügbar!)

Neben den üblichen Betriebsmodi innerhalb von Gebäuden ermöglichen LANCOM Access Points den Aufbau von Richtfunkstrecken oder Wireless Distribution Systems (WDS). Entsprechende Point-to-Point- bzw. Point-to-Multipoint-Verbindungen (P2P) kommen in der Regel bei Outdoor-Installationen zum Einsatz, zum Beispiel zur Breitbanderschließung oder Vernetzung von Freiflächen.

 

Hierbei wird dasselbe Handshake-Verfahren genutzt wie bei der Verbindung eines Access Points mit einem WLAN-Client, so dass prinzipiell auch diese Installationen anfällig für die WPA-2-Schwachstelle sind. Allerdings ist die Durchführung des Angriffs u. a. wegen des fehlenden Roamings deutlich komplexer, sodass die reale Gefahr als äußerst gering einzuschätzen ist. Dennoch sollten auch Access Points in P2P- und WDS-Installationen aktualisiert werden, sobald Patches zur Verfügung stehen.

 

Bitte installieren Sie für Ihre Access Points und WLAN-Router die entsprechenden LCOS-Sicherheits-Updates (zum Download-Bereich).

 

Weiterführende FAQ zum Thema KRACK

Übersicht - Handlungsempfehlungen für LANCOM Geräte

16.10.2017

KRACK: Wichtiger Hinweis zur Sicherheitslücke in WPA-2

(Aktualisierung vom 20.10.2017 – Sicherheits-Updates verfügbar!)

Am Wochenende wurden erste Hinweise auf eine „KRACK“ getaufte Sicherheitslücke in der WPA-2-Verschlüsselung von WLAN-Produkten bekannt. Unter eng definierten Rahmenbedingungen kann es dazu kommen, dass WLAN-Daten unbefugt mitgeschnitten werden können.

 

Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.

 

Bei dem Angriff kann die Verbindung genau eines Clients mit seinem Access Point bzw. WLAN-Router mitgeschnitten werden (Unicast). Gruppenschlüssel für Broadcast- und Multicast-Traffic sind prinzipiell ebenfalls angreifbar, allerdings werden diese oftmals gefiltert, in Unicast gewandelt und enthalten darüber hinaus i.d.R. keine sensitiven Daten.

 

802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von KRACK nicht betroffen. Auch werden diese Funktionen weder von LANconfig, WEBconfig noch durch die LANCOM Management Cloud standardmäßig aktiviert.

 

Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für KRACK sind. Dasselbe gilt für 802.11ac Access Points bzw. Router im Station-Mode sowie bei P2P-Strecken.

 

Bitte installieren Sie für Ihre Access Points und WLAN-Router die entsprechenden LCOS-Sicherheits-Updates (zum Download-Bereich).

 

Von den weiteren Schwachstellen im Kontext vom KRACK sind LANCOM Produkte nicht betroffen.

 

Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden. Allerdings gefährdet ein unsicherer Client keine anderen Clients.

 

Weiterführende FAQ zum Thema KRACK

Übersicht - Handlungsempfehlungen für LANCOM Geräte

19.06.2017

Cherry Blossom: LANCOM WLAN-Router & Access Points sind sicher vor CIA-Lauschangriff

Wikileaks hat am Donnerstag ein Spionagewerkzeug der CIA mit dem Codenamen “Cherry Blossom“ enthüllt. Durch das Aufspielen einer manipulierten Firmware wurden die WLAN-Geräte zahlreicher Hersteller kompromittiert.

 

Gemäß den nun veröffentlichten Unterlagen ist Cherry Blossom in der Lage, WLAN-Router und Access Points auszuspionieren und sensible Daten und Informationen wie zum Beispiel Passwörter an Dritte weiterzuleiten.

 

LANCOM WLAN Router und Access Points sind nicht von “Cherry Blossom“ betroffen. Cherry Blossom ist ein Linux-basiertes Programm, das ausschließlich auf entsprechenden Geräten laufen kann. Alle LANCOM WLAN-Geräte nutzen das LANCOM Closed-Source Betriebssystem LCOS, so dass Cherry Blossom auf LANCOM Geräten nicht ausgeführt werden kann.

 

Weitere Informationen zu Cherry Blossom sowie eine Liste der betroffenen Hersteller und Modelle finden Sie auf der entsprechenden Wikileaks-Seite (Englisch): https://wikileaks.org/vault7/#Cherry%20Blossom

01.12.2016

Weltweiter Hackerangriff auf DSL-Geräte: LANCOM-Router nicht betroffen

UPDATE 01.12.2016

In den vergangenen Tagen berichteten die Medien über einen offenbar weltweiten Angriff auf DSL-Router über den Fernwartungsport TR-069. Im Zuge dessen kam es bei Kunden der Deutschen Telekom zu massiven Verbindungsausfällen.

 

LANCOM Router waren von diesen Angriffen nicht betroffen. Das Fernwartungsprotokoll TR-069 wird von unseren Routern standardmäßig nicht unterstützt. Es kommt nur auf expliziten Kundenwunsch zum Einsatz. Auch hier gab es nach unseren Erkenntnissen keinerlei Beeinträchtigungen.

 

Detaillierte Informationen zu dem aktuellen Angriff und betroffenen Router-Modellen sind bei heise verfügbar.

17.02.2016

glibc-Sicherheitslücke: LANCOM Router und Switche sind sicher

Derzeit wird in den Medien von der glibc-Sicherheitslücke in den Linux-Netzwerkfunktionen berichtet.

 

LANCOM Router sind von dieser Sicherheitslücke nicht betroffen, da sie kein Linux-basiertes Betriebssystem nutzen. Auf den LANCOM Routern kommt ausschließlich das Closed Source Betriebssystem LCOS zum Einsatz. Die glibc-Bibliothek wird daher in LANCOM Routern nicht verwendet und zur DNS-Auflösung ein proprietäres Verfahren eingesetzt. Bei LANCOM Switches kommt die glibc-Bibliothek ebenfalls nicht zum Einsatz.

 

Da die LANCOM Management Systeme Large Scale Monitor (LSM) und Large Scale Rollout (LSR) unter Linux betrieben werden, empfiehlt LANCOM Systems eine Aktualisierung der linux-eigenen glibc-Bibliothek auf diesen Systemen. Eine Anleitung erhalten Sie in folgendem KnowledgeBase-Artikel.

19.01.2016

UPDATE Sicherheitshinweis: Potenzielle Angreifbarkeit von SSH- und SSL-Schlüsseln

Ende November 2015 berichtete heise online über die potenzielle Angreifbarkeit von SSH- und SSL-Schlüsseln:

 

http://www.heise.de/newsticker/meldung/House-of-Keys-Millionen-von-Geraeten-mit-kompromittierten-Krypto-Schluesseln-im-Netz-3025416.html.

 

Zusammengefasst sind Millionen von IT-Produkten potenziell durch sogenannte "Man-in-the-Middle"-Attacken bei einem Fernzugriff auf ein Gerät über die Management-Protokolle SSH und SSL angreifbar. Dabei kann ein Angreifer, der den entsprechenden Datenverkehr (Konfigurations- und Zugangsdaten) mitschneiden kann, in die Lage versetzt werden, die übertragenen Daten zu entschlüsseln. Ursache hierfür ist, dass die zugrunde liegenden Schlüssel und Zertifikate wie bisher branchenüblich nicht individuell je Gerät, sondern identisch über Produktfamilien ausgeprägt waren. Ein solcher Angriff ist nicht trivial durchführbar und an weitere Randbedingungen geknüpft.

 

Es handelt sich hierbei um ein branchenweites Sicherheitsproblem, von dem alle namhaften IT-Hersteller betroffen sind - auch LANCOM Systems.

 

LANCOM Systems stellt LCOS Security Updates zur Verfügung, welche eine automatische Erzeugung geräteindividueller SSH- und SSL-Schlüssel ausführen, falls ein solcher Schlüssel nicht bereits im Gerät vorhanden ist.

 

Nach aktuellem Kenntnisstand wurde diese Schwachstelle noch zu keinem Angriff genutzt. LANCOM Systems stuft die Gefährdung dennoch als mittel ein und empfiehlt zu prüfen, ob Ihre Produkte potenziell betroffen sind und die in diesem KnowledgeBase-Artikel beschriebenen Maßnahmen umzusetzen.

 

Dieser KnowledgeBase-Artikel enthält eine Auflistung aller LANCOM Geräte und gibt Handlungsempfehlungen zur Erzeugung individueller SSH- & SSL-Schlüssel.

 

Diese beschriebenen Maßnahmen beheben die Schwachstelle.