Lancom LCOS mit Schwachstelle bei Root-Passwort 

B2B Cyber Security ShortNews

Beitrag teilen

Lancom und auch das BSI melden einen Konfigurations-Bug für das Betriebssystem LCOS: Eine Schwachstelle mit dem CVSS-Wert von 6.8 kann das erlangen von Administratorrechten ermöglichen. Ein Update steht bereit.

Die Meldung auf der Lancom-Seite und auf der Seite des BSI sind nicht ganz konform. Beide melden zwar eine Schwachstelle ab der LCOS ab der Version 10.80 RU1, aber während Lancom keine Gefahr sieht “Ein unautorisierter Zugriff auf den Router über das WAN (Internet) ist durch diese Sicherheitslücke nicht möglich”, nutzt das BSI in seiner Überschrift den Hinweis “Schwachstelle ermöglicht Erlangen von Administratorrechten”.

Root-Passwort wird leer überschrieben

Anscheinend wurde Lancom vom einem Nutzer informiert, dass beim Anlegen eines weiteren administrativem Nutzers durch den Windows-Setup-Assistent das Root-Passwort des Administrators einfach löscht. LCOS ist ab der Version 10.80 RU1 von dieser Sicherheitslücke betroffen. Niedrigere LCOS-Versionen bzw. andere LANCOM Betriebssysteme sind nicht betroffen. Das Verhalten ist in der LCOS-Version 10.80 SU4 behoben.

Weiterhin teilt Lancom mit: In Public Spot-Szenarien mit einem separaten Gastnetzwerk ist durch die Verwendung von VLAN oder einem WLC-Tunnel ein Management-Zugriff aus dem Gastnetzwerk auf die Access Points nicht möglich und damit eine Gefährdung ausgeschlossen. LANCOM Systems empfiehlt dringend die fehlerbereinigte LCOS-Version 10.80 SU4 einzuspielen.

Mehr bei Lancom-Systems.de

 


Über LANCOM Systems

Die LANCOM Systems GmbH ist führender europäischer Hersteller von Netzwerk- und Security-Lösungen für Wirtschaft und Verwaltung. Das Portfolio umfasst Hardware (WAN, LAN, WLAN, Firewalls), virtuelle Netzwerkkomponenten und Cloud-basierendes Software-defined Networking (SDN). Soft- und Hardware-Entwicklung sowie Fertigung finden hauptsächlich in Deutschland statt, ebenso wie das Hosting des Netzwerk-Managements. Besonderes Augenmerk gilt der Vertrauenswürdigkeit und Sicherheit. Das Unternehmen hat sich der Backdoor-Freiheit seiner Produkte verpflichtet und ist Träger des vom Bundeswirtschaftsministerium initiierten Qualitätszeichens „IT-Security Made in Germany“.


 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen