Lancom y BSI informan de un error de configuración del sistema operativo LCOS: una vulnerabilidad con un valor CVSS de 6.8 puede permitir la adquisición de derechos de administrador. Hay disponible una actualización.
Los mensajes en el sitio web de Lancom y en el sitio web de BSI no son totalmente conformes. Ambos informan de una vulnerabilidad a partir de la versión 10.80 RU1 de LCOS, pero mientras Lancom no ve ningún peligro: “El acceso no autorizado al enrutador a través de la WAN (Internet) no es posible debido a esta brecha de seguridad”, la BSI utiliza la nota en su encabezado: “ La vulnerabilidad permite obtener derechos de administrador”.
La contraseña de root se sobrescribe en blanco
Aparentemente, un usuario informó a Lancom que cuando se crea otro usuario administrativo usando el asistente de configuración de Windows, la contraseña raíz del administrador simplemente se elimina. LCOS se ve afectado por esta vulnerabilidad de seguridad a partir de la versión 10.80 RU1. Las versiones inferiores de LCOS u otros sistemas operativos de LANCOM no se ven afectados. El comportamiento se solucionó en LCOS versión 10.80 SU4.
Lancom también anuncia: En escenarios de puntos públicos con una red de invitados separada, el acceso de administración desde la red de invitados a los puntos de acceso no es posible debido al uso de VLAN o un túnel WLC y, por lo tanto, se excluye una amenaza. LANCOM Systems recomienda encarecidamente instalar la versión 10.80 SU4 de LCOS con corrección de errores.
Más en Lancom-Systems.de
Acerca de los sistemas LANCOM LANCOM Systems GmbH es un fabricante europeo líder en soluciones de red y seguridad para empresas y administración. La cartera incluye hardware (WAN, LAN, WLAN, cortafuegos), componentes de red virtual y redes definidas por software (SDN) basadas en la nube. El desarrollo y la producción de software y hardware tienen lugar principalmente en Alemania, al igual que el alojamiento de la gestión de la red. Se presta especial atención a la fiabilidad y la seguridad. La empresa se compromete a garantizar que sus productos estén libres de puertas traseras y lleven la marca de calidad "Seguridad informática fabricada en Alemania" iniciada por el Ministerio Federal de Economía.