Allgemeine Sicherheitshinweise

18.04.2019

CERT-Veröffentlichung zu Schwachstellen in Broadcom WLAN-Modulen (CERT VU#166939)

Am 17. April 2019 veröffentlichte das US-CERT einen Bericht über Schwachstellen in WLAN-Modulen des Herstellers Broadcom (CERT VU#166939).

 

LANCOM WLAN-Router und –Access Points sind von diesen Schwachstellen nicht betroffen, da in den Geräten keine Broadcom WLAN-Module verwendet werden.

12.04.2019

CERT-Veröffentlichung zur unsicheren Speicherung von Session Cookies in VPN-Anwendungen (CERT VU#192371)

Das US-CERT berichtet in seiner Veröffentlichung vom 11. April 2019 (CERT VU#192371) über eine Sicherheitslücke in VPN-Applikationen. Ursächlich ist hierbei die unsichere bzw. unverschlüsselte Speicherung von Session Cookies im Arbeitsspeicher oder in Log-Dateien auf dem Endpunkt eines VPN-Benutzers.

 

Wenn ein Angreifer Zugriff auf den Endpunkt eines VPN-Benutzers hat oder das Session Cookie rausfiltert, kann er die VPN-Sitzung wiederholen und andere Authentifizierungsmethoden umgehen. Ein Angreifer hätte dann Zugriff auf dieselben Anwendungen, die der Benutzer über seine VPN-Sitzung ausführt.

 

LANCOM Produkte sind von dieser Sicherheitslücke nicht betroffen, da keine Session Cookies verwendet werden.

15.04.2019

Veröffentlichung zu Schwachstellen in WPA3-Personal™ („Dragonblood“) / CERT VU#871675

(Aktualisierung vom 15.04.2019)

 

Am 12.04.2019 hat das US-CERT einen Bericht über unterschiedliche Schwachstellen beim WLAN-Sicherheitsstandard WPA3-Personal™ (CERT VU#871675) veröffentlicht. Dieser Bericht umfasst insgesamt 6 Schwachstellen.

 

Die kritischste Lücke beschreibt die Möglichkeit von Seitenkanalangriffen. Diese Gefahr besteht bei LANCOM nicht, da ein potentieller Angreifer nicht in der Lage ist, unautorisierten Code auf einem LANCOM Gerät laufen zu lassen. Es sind somit keine Maßnahmen seitens der Nutzer nötig.

 

Daneben beschreibt der Bericht eine Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus. Dabei handelt es sich um eine Schwachstelle im Standard selbst, sie ist nicht herstellerspezifisch. Das beschriebene Verhalten kann somit endgültig nur durch eine Weiterentwicklung von WPA3-Personal™ behoben werden.

 

Bis diese verfügbar ist, kann die Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus über einen Workaround neutralisiert werden. Diesen haben wir in diesem Knowledge Base Dokument beschrieben.

 

Die weiteren beschriebenen Schwachstellen sind für LANCOM Nutzer nicht relevant, da die ihnen zugrundeliegenden, optionalen Funktionen bei LANCOM nicht implementiert sind.

 

Die Schwachstellen wurden vom Sicherheitsforscher Mathy Vanhoef entdeckt und in seinem Paper "Dragonblood: A Security Analysis of WPA3’s SAE Handshake" beschrieben.

05.10.2018

Konfiguration von LANCOM Geräten per WEBconfig über unverschlüsseltes HTTP-Protokoll

Am 5. Oktober 2018 wurde in den Medien über die Angreifbarkeit von Netzwerk-Komponenten und Technologien über unverschlüsselte HTTP-Weboberflächen in Verbindung mit Webbrowsern, welche Login-Daten speichern, berichtet (siehe betanews-Artikel).

 

Die WEBconfig-Oberfläche, mit welcher LANCOM Geräte konfiguriert werden können, sollte immer über das verschlüsselte HTTPS-Protokoll geöffnet werden. Beim Öffnen des WEBconfig über HTTP erhalten Sie bei der Anmeldung eine entsprechende Warnmeldung sowie einen Link zur HTTPS-Variante. Wir empfehlen zudem, die Login-Daten niemals in den Webbrowsern zu speichern.

 

Ab der LCOS-Version 10.20 können Sie eine automatische Umleitung des WEBconfig-Zugriffs auf HTTPS konfigurieren. Informationen erhalten Sie in diesem Knowledge Base Dokument.

15.08.2018

Berichte über die Sicherheitslücke "Foreshadow"

(Aktualisierung vom 17.08.2018)

Am 14. August 2018 berichteten die Medien von einer Sicherheitslücke,"Foreshadow", die besonders für Cloud-Server kritisch ist.

 

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da kein Fremdcode auf LANCOM Produkten ausgeführt werden kann.

 

Betreibern von virtuellen Serverumgebungen, z.B. vmWare, auf welchen unter anderem LANCOM vRouter, LMC private, LSM und LSR betrieben werden, empfehlen wir das schnellstmögliche Einspielen der relevanten Hersteller-Updates. Einen Artikel mit Handlungsempfehlungen stellen wir in unserer Knowledge Base zur Verfügung.

 

Aufgrund der hohen Sicherheitsrelevanz, bringt LANCOM Systems ihre Systeme sofort nach Verfügbarkeit eines Hersteller-Patch auf den aktuellen Stand.

09.08.2018

Neue Berichte über Schwachstelle in WPA2-Verschlüsselung

Am 07. August 2018 sind erste Medienberichte über eine augenscheinlich neue Schwachstelle in der WPA2-Verschlüsselung von WLAN-Netzwerken erschienen. Die dort geschilderte Methode basiert jedoch nicht auf einer neuen Sicherheitslücke, sondern stellt lediglich einen vereinfachten Angriff auf eine bereits bekannte WPA2-Schwachstelle dar.

 

Grundsätzlich empfehlen wir daher allen Kunden, die LANCOM Geräte mit WPA2-PSK betreiben, ein möglichst komplexes Passwort zu verwenden. LANCOM Installationen mit WPA2-Enterprise sind von dieser Angriffsmöglichkeit NICHT betroffen.

 

Darüber hinaus bereiten wir derzeit die Einführung des neuen WLAN-Sicherheitsstandards WPA3 vor. Dieser wird noch im Laufe des Sommers mit dem Release von LCOS 10.20 verfügbar gemacht.