Allgemeine Sicherheitshinweise

19.11.2019

Verbesserung der Sicherheit im IPv6-Betrieb

Für die stetige Verbesserung der Sicherheit im IPv6-Betrieb stehen für LANCOM IPv6-Router Security-Updates für Sie bereit.

 

Wird generell kein IPv6 oder keine VPN-Verbindung zwischen IPv6-Netzwerken verwendet, ist dieses Update nicht zwingend notwendig. LANCOM Systems empfiehlt dennoch grundsätzlich, Geräte auf dem aktuellen Firmware-Stand zu halten.

 

LANCOM Systems stellt folgende LCOS Security Updates zur Verfügung:

• LCOS 10.32 SU3

• LCOS 10.20 SU9

• LCOS 10.12 SU14

• LCOS 9.24 SU12

• LCOS 9.00 SU8

• LCOS 8.84 SU11

 

Die Security-Updates stehen ab sofort im Download-Bereich der LANCOM-Webseite bereit.

 

05.08.2019

Update zur Veröffentlichung zu Schwachstellen in WPA3-Personal™ („Dragonblood“) / CERT VU#871675

Der Sicherheitsforscher Mathy Vanhoef hat im August 2019 eine Aktualisierung in seinem Paper "Dragonblood: A Security Analysis of WPA3’s SAE Handshake" vorgenommen. Diese Aktualisierung beschreibt eine weitere Möglichkeit von Seitenkanalangriffen durch die Verwendung von Brainpool-Kurven.

 

LANCOM Produkte sind von dieser Angriffsmöglichkeit nicht betroffen, da Brainpool-Kurven nicht eingesetzt werden.

In den Medien wurde heute über mehrere Schwachstellen berichtet, durch welche Linux-basierte Systeme zum Absturz gebracht werden können (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479).

 

LANCOM Systems stuft das Risiko dieser Sicherheitslücken in Bezug auf LANCOM Produkte als gering ein.

 

Die folgenden LANCOM Produkte sind möglicherweise betroffen:

 

- LANCOM Unified Firewalls

- LANCOM LW-500

 

Die LANCOM Management Cloud wurde bereits mit einem Patch aktualisiert.

 

Für die anderen genannten Produkte wird LANCOM Systems in Kürze entsprechende Firmware-Updates mit Sicherheitspatches zur Verfügung stellen (siehe folgendes Knowledge Base Dokument.

 

Linux-basierte Host-Systeme, auf denen virtuelle Produkte, z.B. LANCOM vRouter betrieben werden können, sind möglicherweise ebenfalls betroffen. Hier empfehlen wir baldmöglichst entsprechende Sicherheitspatches aufzuspielen.

18.04.2019

CERT-Veröffentlichung zu Schwachstellen in Broadcom WLAN-Modulen (CERT VU#166939)

Am 17. April 2019 veröffentlichte das US-CERT einen Bericht über Schwachstellen in WLAN-Modulen des Herstellers Broadcom (CERT VU#166939).

 

LANCOM WLAN-Router und –Access Points sind von diesen Schwachstellen nicht betroffen, da in den Geräten keine Broadcom WLAN-Module verwendet werden.

12.04.2019

CERT-Veröffentlichung zur unsicheren Speicherung von Session Cookies in VPN-Anwendungen (CERT VU#192371)

Das US-CERT berichtet in seiner Veröffentlichung vom 11. April 2019 (CERT VU#192371) über eine Sicherheitslücke in VPN-Applikationen. Ursächlich ist hierbei die unsichere bzw. unverschlüsselte Speicherung von Session Cookies im Arbeitsspeicher oder in Log-Dateien auf dem Endpunkt eines VPN-Benutzers.

 

Wenn ein Angreifer Zugriff auf den Endpunkt eines VPN-Benutzers hat oder das Session Cookie rausfiltert, kann er die VPN-Sitzung wiederholen und andere Authentifizierungsmethoden umgehen. Ein Angreifer hätte dann Zugriff auf dieselben Anwendungen, die der Benutzer über seine VPN-Sitzung ausführt.

 

LANCOM Produkte sind von dieser Sicherheitslücke nicht betroffen, da keine Session Cookies verwendet werden.

15.04.2019

Veröffentlichung zu Schwachstellen in WPA3-Personal™ („Dragonblood“) / CERT VU#871675

(Aktualisierung vom 15.04.2019)

 

Am 12.04.2019 hat das US-CERT einen Bericht über unterschiedliche Schwachstellen beim WLAN-Sicherheitsstandard WPA3-Personal™ (CERT VU#871675) veröffentlicht. Dieser Bericht umfasst insgesamt 6 Schwachstellen.

 

Die kritischste Lücke beschreibt die Möglichkeit von Seitenkanalangriffen. Diese Gefahr besteht bei LANCOM nicht, da ein potentieller Angreifer nicht in der Lage ist, unautorisierten Code auf einem LANCOM Gerät laufen zu lassen. Es sind somit keine Maßnahmen seitens der Nutzer nötig.

 

Daneben beschreibt der Bericht eine Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus. Dabei handelt es sich um eine Schwachstelle im Standard selbst, sie ist nicht herstellerspezifisch. Das beschriebene Verhalten kann somit endgültig nur durch eine Weiterentwicklung von WPA3-Personal™ behoben werden.

 

Bis diese verfügbar ist, kann die Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus über einen Workaround neutralisiert werden. Diesen haben wir in diesem Knowledge Base Dokument beschrieben.

 

Die weiteren beschriebenen Schwachstellen sind für LANCOM Nutzer nicht relevant, da die ihnen zugrundeliegenden, optionalen Funktionen bei LANCOM nicht implementiert sind.

 

Die Schwachstellen wurden vom Sicherheitsforscher Mathy Vanhoef entdeckt und in seinem Paper "Dragonblood: A Security Analysis of WPA3’s SAE Handshake" beschrieben.

05.10.2018

Konfiguration von LANCOM Geräten per WEBconfig über unverschlüsseltes HTTP-Protokoll

Am 5. Oktober 2018 wurde in den Medien über die Angreifbarkeit von Netzwerk-Komponenten und Technologien über unverschlüsselte HTTP-Weboberflächen in Verbindung mit Webbrowsern, welche Login-Daten speichern, berichtet (siehe betanews-Artikel).

 

Die WEBconfig-Oberfläche, mit welcher LANCOM Geräte konfiguriert werden können, sollte immer über das verschlüsselte HTTPS-Protokoll geöffnet werden. Beim Öffnen des WEBconfig über HTTP erhalten Sie bei der Anmeldung eine entsprechende Warnmeldung sowie einen Link zur HTTPS-Variante. Wir empfehlen zudem, die Login-Daten niemals in den Webbrowsern zu speichern.

 

Ab der LCOS-Version 10.20 können Sie eine automatische Umleitung des WEBconfig-Zugriffs auf HTTPS konfigurieren. Informationen erhalten Sie in diesem Knowledge Base Dokument.