Lancom: Sicherheitslücke im Webinterface von LCOS-Geräten (Heap Overflow)

tango501

Aktives Mitglied
Mitglied seit
1 Aug 2022
Beiträge
2,240
Punkte für Reaktionen
487
Punkte
83
"Das Unternehmen SSD Secure Disclosure hat am 05.09.2024 Informationen zu einer Sicherheitslücke im LCOS veröffentlicht, über die Angreifer einen „Heap Overflow“ im Webinterface auslösen können. Dieser führt zu einem unvermittelten Neustart des Gerätes (DoS-Attacke). Die Kommunikation zwischen den Geräten und der LMC ist von diesem Verhalten nicht betroffen, da die Kommunikation initial vom Gerät ausgeht. LANCOM Systems hat die Sicherheitslücke bereits behoben und stellt die fehlerbereinigten Versionen im Download-Bereich zur Verfügung. LANCOM Systems empfiehlt dringend, diese Versionen schnellstmöglich auf Ihren Geräten einzuspielen. Die fehlerbereinigten Firmware-Versionen werden voraussichtlich ab Mitte KW 38 auch über den Auto-Updater zur Verfügung stehen.
Aktuelle Firmware-Versionen:
LCOS 10.80 SU8
LCOS 10.72 SU10
LCOS 10.50 SU15
Darüber hinaus stellt LANCOM Systems folgende EOL-Firmware-Versionen zur Verfügung:
LCOS 10.42 SU14
LCOS 10.34 SU6
LCOS 10.20 SU12
LCOS 10.12 SU17
LCOS 9.24 SU13
Die Bereitstellung für die Geräte R883VAW/R883+/R884VA erfolgt nach der Freigabe durch die Telekom. LANCOM Systems empfiehlt generell den Zugriff auf das Webinterface aus dem WAN zu verbieten bzw. auf VPN-Verbindungen einzuschränken (Möglichkeit 1) oder zumindest auf bestimmte Netzwerke und/oder IP-Adressen einzuschränken (Möglichkeit 2). Bis zum Einspielen der fehlerbereinigten Firmware in den Router sollten die Web-Server-Dienste auf dem WAN deaktiviert werden (Möglichkeit 3). Weiterhin sollte die Funktion IPSec-over-HTTPS auf dem Router deaktiviert werden. Bitte beachten Sie, dass VPN-Verbindungen dadurch nur noch mit IPSec aufgebaut werden können und einige Advanced VPN Client Verbindungen gegebenenfalls nicht mehr funktionieren."
Quelle: https://www.lancom-systems.de/service-support/allgemeine-sicherheitshinweise
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.