Lancom e BSI relatam um bug de configuração para o sistema operacional LCOS: uma vulnerabilidade com valor CVSS de 6.8 pode permitir a aquisição de direitos de administrador. Uma atualização está disponível.
As mensagens no site da Lancom e no site do BSI não são totalmente compatíveis. Ambos relatam uma vulnerabilidade a partir da versão LCOS 10.80 RU1, mas embora a Lancom não veja perigo: “O acesso não autorizado ao roteador via WAN (Internet) não é possível devido a esta lacuna de segurança”, o BSI usa a nota em seu título: “ A vulnerabilidade permite obter direitos de administrador”.
A senha root foi substituída em branco
Aparentemente, a Lancom foi informada por um usuário que quando outro usuário administrativo é criado usando o assistente de configuração do Windows, a senha root do administrador é simplesmente excluída. O LCOS é afetado por esta vulnerabilidade de segurança a partir da versão 10.80 RU1. Versões inferiores do LCOS ou outros sistemas operacionais LANCOM não são afetados. O comportamento foi corrigido no LCOS versão 10.80 SU4.
A Lancom também anuncia: Em cenários de locais públicos com uma rede de convidados separada, o acesso de gerenciamento da rede de convidados aos pontos de acesso não é possível devido ao uso de VLAN ou de um túnel WLC e, portanto, uma ameaça é excluída. A LANCOM Systems recomenda fortemente a instalação do LCOS versão 10.80 SU4 com correção de erros.
Mais em Lancom-Systems.de
Sobre a LANCOM Systems LANCOM Systems GmbH é um fabricante europeu líder de soluções de rede e segurança para negócios e administração. O portfólio inclui hardware (WAN, LAN, WLAN, firewalls), componentes de rede virtual e rede definida por software (SDN) baseada em nuvem. O desenvolvimento e a produção de software e hardware ocorrem principalmente na Alemanha, assim como a hospedagem do gerenciamento de rede. É dada especial atenção à confiabilidade e segurança. A empresa está empenhada em garantir que seus produtos sejam livres de backdoor e tenham a marca de qualidade "IT Security Made in Germany" iniciada pelo Ministério Federal da Economia.