Lancom e BSI segnalano un bug di configurazione per il sistema operativo LCOS: una vulnerabilità con il valore CVSS di 6.8 può consentire l'acquisizione dei diritti di amministratore. È disponibile un aggiornamento.
I messaggi presenti sul sito Lancom e sul sito BSI non sono del tutto conformi. Entrambi segnalano una vulnerabilità a partire dalla versione LCOS 10.80 RU1, ma mentre Lancom non vede alcun pericolo: "L'accesso non autorizzato al router tramite WAN (Internet) non è possibile a causa di questa lacuna di sicurezza", il BSI riporta la nota nel suo titolo: " La vulnerabilità consente di ottenere i diritti di amministratore”.
La password di root viene sovrascritta vuota
Apparentemente Lancom è stato informato da un utente che quando viene creato un altro utente amministrativo utilizzando l'assistente di configurazione di Windows, la password root dell'amministratore viene semplicemente cancellata. LCOS è interessato da questa vulnerabilità della sicurezza a partire dalla versione 10.80 RU1. Le versioni LCOS inferiori o altri sistemi operativi LANCOM non sono interessati. Il comportamento è stato corretto nella versione LCOS 10.80 SU4.
Lancom comunica inoltre: Negli scenari spot pubblici con rete ospite separata, l'accesso gestionale dalla rete ospite agli access point non è possibile a causa dell'utilizzo di VLAN o di un tunnel WLC e quindi è esclusa una minaccia. LANCOM Systems consiglia vivamente di installare la versione LCOS 10.80 SU4 con errori corretti.
Maggiori informazioni su Lancom-Systems.de
Informazioni sui sistemi LANCOM LANCOM Systems GmbH è un produttore leader europeo di soluzioni di rete e sicurezza per il business e l'amministrazione. Il portafoglio comprende hardware (WAN, LAN, WLAN, firewall), componenti di rete virtuale e software-defined networking (SDN) basato su cloud. Lo sviluppo e la produzione di software e hardware si svolgono principalmente in Germania, così come l'hosting della gestione della rete. Particolare attenzione è rivolta all'affidabilità e alla sicurezza. L'azienda si impegna a garantire che i suoi prodotti siano privi di backdoor e rechino il marchio di qualità "Sicurezza IT Made in Germany" istituito dal Ministero federale dell'economia.