Lancom et le BSI signalent un bug de configuration pour le système d'exploitation LCOS : une vulnérabilité de valeur CVSS de 6.8 peut permettre l'acquisition de droits d'administrateur. Une mise à jour est disponible.
Les messages sur le site Lancom et sur le site BSI ne sont pas entièrement conformes. Tous deux signalent une vulnérabilité à partir de la version 10.80 RU1 du LCOS, mais si Lancom ne voit aucun danger : « Un accès non autorisé au routeur via le WAN (Internet) n'est pas possible en raison de cette faille de sécurité », le BSI utilise la note dans son titre : « La vulnérabilité permet d'obtenir des droits d'administrateur ».
Le mot de passe root est écrasé et vide
Apparemment, Lancom a été informé par un utilisateur que lorsqu'un autre utilisateur administratif est créé à l'aide de l'assistant de configuration Windows, le mot de passe root de l'administrateur est simplement supprimé. LCOS est concerné par cette faille de sécurité à partir de la version 10.80 RU1. Les versions inférieures du LCOS ou les autres systèmes d'exploitation LANCOM ne sont pas affectés. Le comportement est corrigé dans LCOS version 10.80 SU4.
Lancom annonce également : Dans les scénarios de spot public avec un réseau invité séparé, l'accès de gestion du réseau invité aux points d'accès n'est pas possible en raison de l'utilisation d'un VLAN ou d'un tunnel WLC et donc une menace est exclue. LANCOM Systems recommande fortement d'installer la version 10.80 SU4 de LCOS corrigée des erreurs.
Plus sur Lancom-Systems.de
À propos des systèmes LANCOM LANCOM Systems GmbH est l'un des principaux fabricants européens de solutions de réseau et de sécurité pour les entreprises et l'administration. Le portefeuille comprend du matériel (WAN, LAN, WLAN, pare-feu), des composants de réseau virtuel et un réseau défini par logiciel (SDN) basé sur le cloud. Le développement et la production de logiciels et de matériel se déroulent principalement en Allemagne, tout comme l'hébergement de la gestion du réseau. Une attention particulière est portée à la fiabilité et à la sécurité. L'entreprise s'engage à garantir que ses produits sont exempts de portes dérobées et portent le label de qualité "IT Security Made in Germany" initié par le ministère fédéral de l'Économie.