Lancom und auch das BSI melden einen Konfigurations-Bug für das Betriebssystem LCOS: Eine Schwachstelle mit dem CVSS-Wert von 6.8 kann das erlangen von Administratorrechten ermöglichen. Ein Update steht bereit.
Die Meldung auf der Lancom-Seite und auf der Seite des BSI sind nicht ganz konform. Beide melden zwar eine Schwachstelle ab der LCOS ab der Version 10.80 RU1, aber während Lancom keine Gefahr sieht “Ein unautorisierter Zugriff auf den Router über das WAN (Internet) ist durch diese Sicherheitslücke nicht möglich”, nutzt das BSI in seiner Überschrift den Hinweis “Schwachstelle ermöglicht Erlangen von Administratorrechten”.
Root-Passwort wird leer überschrieben
Anscheinend wurde Lancom vom einem Nutzer informiert, dass beim Anlegen eines weiteren administrativem Nutzers durch den Windows-Setup-Assistent das Root-Passwort des Administrators einfach löscht. LCOS ist ab der Version 10.80 RU1 von dieser Sicherheitslücke betroffen. Niedrigere LCOS-Versionen bzw. andere LANCOM Betriebssysteme sind nicht betroffen. Das Verhalten ist in der LCOS-Version 10.80 SU4 behoben.
Weiterhin teilt Lancom mit: In Public Spot-Szenarien mit einem separaten Gastnetzwerk ist durch die Verwendung von VLAN oder einem WLC-Tunnel ein Management-Zugriff aus dem Gastnetzwerk auf die Access Points nicht möglich und damit eine Gefährdung ausgeschlossen. LANCOM Systems empfiehlt dringend die fehlerbereinigte LCOS-Version 10.80 SU4 einzuspielen.
Mehr bei Lancom-Systems.de
Über LANCOM Systems Die LANCOM Systems GmbH ist führender europäischer Hersteller von Netzwerk- und Security-Lösungen für Wirtschaft und Verwaltung. Das Portfolio umfasst Hardware (WAN, LAN, WLAN, Firewalls), virtuelle Netzwerkkomponenten und Cloud-basierendes Software-defined Networking (SDN). Soft- und Hardware-Entwicklung sowie Fertigung finden hauptsächlich in Deutschland statt, ebenso wie das Hosting des Netzwerk-Managements. Besonderes Augenmerk gilt der Vertrauenswürdigkeit und Sicherheit. Das Unternehmen hat sich der Backdoor-Freiheit seiner Produkte verpflichtet und ist Träger des vom Bundeswirtschaftsministerium initiierten Qualitätszeichens „IT-Security Made in Germany“.