Dopo un analisi approfondita LANCOM è lieta di annunciare che i propri sistemi non sono colpiti dalla vulnerabilità in questione.
Correzione della vulnerabilità in LCOS (CVE-2021-33903)
LANCOM Systems ha corretto una vulnerabilità di sicurezza nell’accesso SNMP in LCOS (10.42 RU4 e 10.50 REL), comportamento verificatosi esclusivamente nelle versioni LCOS 10.4x e classificato come non critico.
Sicurezza Bluetooth (Bracktooth)
Altre segnalazioni di nuove vulnerabilità sono pervenute nei media, riguardo la sicurezza Bluetooth, note come “Bracktooth”. Dopo un’approfondita analisi, però, LANCOM comunica che i sui chip Bluetooth non sono interessati da tali vulnerabilità.
Sicurezza INFRA:HALT (Nichestack)
Anche nella modalità di sicurezza INFRA:HALT sono stati rilevati dei problemi, in particolar modo nello stack TCP/IP dei dispositivi industriali; anche qui però LANCOM comunica che i suoi prodotti non sono interessati da tali vulnerabilità, anche perché lo stack TCP in questione non viene visualizzato.
LANCOM R&S Unified Firewall
SYSS, la nota società di sicurezza ha identificato una vulnerabilità nel portale utente interno di Unified Firewall, nota come CVE-2021-31538. Quando il portale interno risultava attivo su Unified Firewall con LCOS FX 10.5.x, infatti, era possibile ottenere un accesso non autorizzato dalla rete locale (LAN).
Le versioni 10.4x e precedenti di LCOS FX non sono interessate da questa vulnerabilità. LANCOM System, inoltre, ha corretto la vulnerabilità in LCOS FX 10.6 REL per rendere al meglio le prestazioni: è consigliato dunque un aggiornamento immediato a questa versione.
WLAN "Fragattacks"
Gran parte delle WLAN sono colpite dalla vulnerabilità WLAN IEEE 802.11. Nelle funzioni “Frame Aggregation” e “Frame Fragmentation” i prodotti lancom sono interessati dai seguenti CVE:
- CVE-2020-24588;
- CVE-2020-26144;
- CVE-2020-26146;
- CVE-2020-26147;
Nei prodotti LANCOM WLAN, gestiti da LCOS (a partire dalla versione 10.42 REL), le vulnerabilità sopra citate sono state risolte.
La patch di sicurezza corrispondente è inclusa nelle seguenti versioni di LCOS:
- LCOS 10.34 RU3;
- LCOS 10.20 SU11;
- LCOS 10.12 SU16 (solo per dispositivi che non supportano più il firmware più recente);
A partire da LCOS LX 5.30 RY2 le vulnerabilità sono state risolte.
La patch di sicurezza, a partire dalla versione firmware 5.30, è disponibile per i punti di accesso LANCOM compatibili con Wi-Fi 6 del tipo LW-600 e LX-6400/6402.
Si consiglia di aggiornare alle versioni del firmware sopracitate.
Quando si utilizza SSL VPN con compressione attiva è possibile capire la complessità della password tramite la vulnerabilità di sicurezza di Voracle, in presenza di determinati requisiti.
I seguenti sistemi operativi <b<non supportano SSL VPN</b> e pertanto non sono interessati :
• LCOS
• LCOS LX
• LCOS SX
Questa vulnerabilità di sicurezza permette ai dispositivi dietro un NAT di essere attaccati, minando la sicurezza degli ” Application Layer Gateways” (ALG), nei router internet.
LANCOM Systems, apporta quindi alcune raccomandazioni:
- Implementare patch software che impediscono la comunicazione in uscita tramite le porte utilizzate dagli ALG, e aggiornare il browser immediatamente;
- Limitare l’accesso ai siti Web dannosi tramite la dark list;
- Disattivare gli ALG inutilizzati sui router con LCOS;
- Utilizzare proxy FTP o la gestione dell’applicazione. Su Unified Firewall con LCOS FX è possibile utilizzare tale proxy oltre alle regole generali. Tutti i punti di accesso LCOS e LCOS LX e gli interruttori LCOS SX, non contengono ALG, pertanto non sono necessarie azioni di alcun genere.
E’ presente una vulnerabilità nel comando “sudo”, che consente agli utenti con diritti anche limitati di estenderli e accedere a funzioni non autorizzate.
LCOS, LCOS LX, e LCOS SX non sono colpiti da tale vulnerabilità.
Nei server “Dnsmasq” è presente una vulnerabilità che consentirebbe ad un utente malintenzionato di danneggiare la memoria di un dispositivo e di eseguire attacchi alla cache.
Nei dispositivi LANCOM non esiste tale vulnerabilità in quanto il server interessato non viene utilizzato.
La società FORESCOUT ha pubblicato un report sulle vulnerabilità in diversi stack TCP open source: “Amnesia:33”
Le seguenti quattro vulnerabilità hanno un impatto su diversi stack TCP in quanto consentono l’esecuzione di codice dannoso; per questo sono particolarmente critiche.
• CVE-2020-24336 (Punteggio CVSS 9.8/”Critico”, RCE, uIP)
• CVE-2020-24338 (CVSS-Punteggio 9.8/”Critico”, RCE, picoTP)
• CVE-2020-25111 (Punteggio CVSS 9.8/”Critico”, RCE, Dado/Netto)
• CVE-2020-25112 (Punteggio CVSS 8.1/”Alto”, RCE, uIP)
I dispositivi LANCOM non utilizzano uno di questi stack TCP e pertanto non sono interessati.
Il produttore Qualcomm riporta in un bollettino di sicurezza aggiornato sui chip WLAN interessati dalla vulnerabilità di sicurezza “Kr00k”. Dopo un esame approfondito è emerso che i prodotti LANCOM non sono ancora interessati da questa vulnerabilità di sicurezza .
I media stanno attualmente segnalando una vulnerabilità Linux in OpenSSH 8.3p1 (CVE-2020-15778) che potrebbe provocare attacchi di tipo Denial of Service (DoS) e l’esecuzione di codice dannoso in remoto.
L’US-CERT ha pubblicato un rapporto su una vulnerabilità in uno stack TCP specifico del produttore, noto anche come “Ripple20” (CERT VU#257161).
I dispositivi LANCOM e la soluzione LANCOM Wireless ePaper non sono interessati da questa vulnerabilità perché lo stack TCP interessato non viene utilizzato .
Inoltre, i firewall LANCOM R&S®Unified offrono la protezione necessaria contro questa vulnerabilità , poiché possono rilevarne e bloccarne i pacchetti di attacco.
Una società di sicurezza IT tedesca ha identificato una vulnerabilità nel Public Spot LANCOM. Sono interessati tutti i dispositivi LANCOM con una funzione Public Spot attivata. La vulnerabilità consente agli aggressori di eseguire il codice JavaScript tramite la pagina di accesso del LANCOM Public Spot. Se viene utilizzato un codice appropriato, possono essere introdotte informazioni che possono essere utilizzate per attaccare il sistema di un utente. E’ necessario quindi aggiornare i propri sistemi alle seguenti versioni:
• LCOS 10.12 SU15
• LCOS 10.20 SU10
• LCOS 10.32 RU9
LANCOM consiglia agli utenti di un public spot di installare immediatamente gli aggiornamenti di sicurezza.
Il 17 aprile 2019 l’US-CERT ha pubblicato un rapporto sulle vulnerabilità nei moduli WLAN del produttore Broadcom (CERT VU#166939).
I router e i punti di accesso wireless LANCOM non sono interessati da queste vulnerabilità poiché i dispositivi non utilizzano i moduli WLAN Broadcom.
Lo US-CERT nel 2019 ha riportato una vulnerabilità nelle applicazioni VPN (CERT VU#192371), consistente nell’archiviazione non sicura o non crittografata dei cookie di sessione nella memoria o nei file di registro sull’endpoint di un utente VPN.
Se un utente malintenzionato ha accesso permanente all’endpoint di un utente VPN o esfiltra il cookie utilizzando altri metodi, può ripetere la sessione e ignorare altri metodi di autenticazione, avendo così accesso alle stesse applicazioni che l’utente utilizza attraverso la propria sessione VPN.
I prodotti LANCOM non sono interessati da questa vulnerabilità perché non vengono utilizzati cookie di sessione.
Il 12 aprile 2019, l’US-CERT ha pubblicato un rapporto su varie vulnerabilità nello standard di sicurezza Wi-Fi WPA3-Personal (CERT VU#871675). Questo rapporto si occupa di un totale di 6 vulnerabilità.
La vulnerabilità più critica è il potenziale per attacchi side-channel . Questa minaccia non influisce però su LANCOM , poiché, nei suoi dispositivi, i potenziali aggressori non sono in grado di eseguire codice non autorizzato. Di conseguenza, non sono necessarie misure da parte degli utenti.
Suggerimenti per contrastare la vulnerabilità:
- Controllate quali componenti della infrastruttura usano log4j2;
- Installate la patch 2.16.0 ovunque sia possibile;
- In alternativa disabilitate JDNI e rimuovete il supporto per il Message lookups;
- Salvate le evidenze digitali dei sistemi prima di installare patch, riavviare o spegnere;
- Salvate memoria e dischi delle macchine potenzialmente affette;
- Utilizzare soluzioni Cisco, Citrix, VMware;
- Seguire le indicazioni di ogni vendor interessato per mitigazione, patch o aggiornamento;
- Segui le indicazioni che Apache ha rilasciato riguardo le tecniche di mitigazione, ove l’installazione di patch non sia possibile;
- Identificate le applicazioni critiche e tenetevi aggiornati con i rispettivi vendor.
- Se non potete installare patch seguite le indicazioni qui riportate.