Lancom-Router: Web-Interface WAN-seitig - zu viele Informationen!

[tstimper]

Im Default ist der Zugriff auf das WEB-Inteface aus dem WAN verboten.. Hier muß der Admin gleich zweimal blöd gewesen sein

Was das Login-Interface betrifft ist das eine Sache. Die Sicherheitsmeldung vom 10. September schließt aber explizit IPSec-over-HTTPS mit ein und in diesem Fall würde ich jetzt nicht sagen, dass der Admin "blöd" gewesen ist, wenn er diese Funktion nutzt und damit das Web-Interface entsprechend exponiert. Diese Funktion ist auch gerade eine wichtige Funktion, weil "normales" IPSec ziemlich häufig gesperrt ist und das nicht nur in Problem Staaten.

Ja IPSec-over-HTTPS ist ein gängiges Szenario
Das macht der Admln nicht aus Dummheit sondern
nutzt da gerade ein besonderes cooles Feature der
LCOS Router …


Viele Grüße

ts

[COMCARGRU]

Ja IPSec-over-HTTPS ist ein gängiges Szenario
Das macht der Admln nicht aus Dummheit sondern
nutzt da gerade ein besonderes cooles Feature der
LCOS Router …

Ahh - nicht Falsch verstehen - ich vermute backslash bezieht sich hier auf die Management-Login-Seite des Routers. Der Begriff "Web-Interface" schließt halt allerdings die IPSEc-over-HTTPS-Funktion mit ein. Schlicht das halt auseinander halten, damit stille Mitleser das auch nachvollziehen, dass durch diese Funktion das Web-Interace von außen erreichbar ist und beim Aufruf in einem Browser die ein oder andere Information liefert oder eben nicht.

[backslash]

Hi COMCARGRU

Die Sicherheitsmeldung vom 10. September schließt aber explizit IPSec-over-HTTPS mit ein und in diesem Fall würde ich jetzt nicht sagen, dass der Admin "blöd" gewesen ist, wenn er diese Funktion nutzt und damit das Web-Interface entsprechend exponiert.

es ging darum, daß HTTP (*OHNE* S) auf dem WAN erlaubt ist (=> https://www.google.de/search?q=%22Cauti ... ection.%22 )... Und da *IST* der Admin blöd!

Gruß
Backslash

[Hagen2000]

Die Sicherheitsmeldung vom 10. September schließt aber explizit IPSec-over-HTTPS mit ein ...

Als stillen Mitleser klärt mich bitte auf: Welche Sicherheitsmeldung ist hier gemeint, wo finde ich die?

[COMCARGRU]

Die Sicherheitsmeldung vom 10. September schließt aber explizit IPSec-over-HTTPS mit ein ...

Als stillen Mitleser klärt mich bitte auf: Welche Sicherheitsmeldung ist hier gemeint, wo finde ich die?

Guten Morgen,

diese vom 10.09. ist gemeint - Sicherheitslücke im Webinterface von LCOS-Geräten (Heap Overflow):

https://www.lancom-systems.de/service-s ... tshinweise

Das es wichtig ist sieht man daran, das selbst die 9.24 ein SU erhalten hat.

VG
CG

[Hagen2000]

Danke Dir - ich hatte hier im Thread im Beitrag vom 10. September >2022< gesucht

[tstimper]

Hier die Original Meldung https://ssd-disclosure.com/ssd-advisor ... -overflow/

Interessant ist folgende Bemerkung:

Code: Alles auswählen

 Vendor Response
We have sent out several emails to info@lancom.de (since June 2024) and none of them were replied to.

Man muss bei LANCOM in so einem Fall mit den richtigen Leuten sprechen.

Interessant ist auch das wie es aussieht keine CVE beantragt wurde.

Als wir in 2021 eine Sicherheitslücke gefunden hatten,
haben wir eine CVE beantragt und den Security Chef von LANCOM kontaktiert.

Wir hatten innerhalb von ein paar Tagen einen Fix.
Siehe CVE-2021-33903.
Die 90 Tage Disclosure hatten wir dann natürlich eingehalten. Der Fix war da schon längst released.

Bei dem aktuellen Fall hat LANCOM erst reagiert,
nachdem die Disclosure Zeit abgelaufen war.

Ich verstehe LANCOM da wirklich nicht.

Übrigens habe ich zu Ostern am security@lancom.de gemailt und gefragt, inwieweit in LANCOM Produkten
die xz Tools enthalten sind.

Erst weit nach Ostern schrieb man mir das man diese Email Adresse nicht täglich monitort und schon garnicht am Wochenende und zu Feiertagen.
Man möge doch bitte einen Case aufmachen.

Den Fall hatte ich letztes Jahr am 01.10.2023.
Erinnert sich noch jemand an den Ausfall der AV Updates
auf den UFs vom 01.-04.10.2023?
Da sagte mir der Support am 2.10. das ja Brückentag ist
und man deshalb die Entwickler nicht erreicht.

Und was war die Ursache? LANCOM hatte zwar UF Updates
für die neuen Avira Keys ausgerollt.
Dann haben sie aber vergessen, dem Provider,
der sich um den von LANCOM zur Verfügung gestellten Updateserver betreibt, zu beauftragen, in der Nacht vom Sonnabend zum Sonntag die Serverzertifikate zu tauschen und die Updates zu testen.

Als ich dann am 4.10. früh Ralf Koenzen gemailt habe
war 11 Uhr das Problem gefixt.

Und danach antwortete der Support auf meinen Case vom Montag das man je nicht erst nach meiner Email an den CEO angefangen hätte das zu fixen.

Warum schreibe ich das ganze?

Bei LANCOM arbeiten tolle Leute und die Produkte sind sehr gut.

Die Prozesse allerdings sind in so einen Fall einfach untragbar..

Ein großes Lob dafür , das auch für die alten LCOS Geräte
die sowieso bei jedem Daily Lauf einstehenden Firmware Updates dieses Mal der Allgemeinheit zur Verfügung gestellt wurden.

Das ist ein Anfang für den Erhalt Zehntausender oder Hunderttausender LCOS Geräte die sonst auf den Schrott
fliegen ….

Vielen Dank LANCOM!

Viele Grüße

ts

[sebsch134]

Wenn Urlaub ist, ist Urlaub. So ist das halt. Und Kommunikation an RKoenzen hatte damals überhaupt keinen Einfluss auf die Bearbeitungszeit.

Und es ging im letzten Fall keine Mail an die korrekte Stelle raus. Somit war die Sichtbarkeit leider verspätet. Auch hier werden Prozesse optimiert, die eigentlich gar nichts mit Security zu tun haben.
Die Info-Mail eines großen Unternehmens ist nunmal mit einem digitalen Papierkorb gleichzusetzen. Wird zugespammt bis Oberkante. Dafür gibt es eben die korrekten E-Mail Adressen unter Kontakte.

Die Aussage dort, das wir nicht reagiert hätten ist also leider ein Zweischneidiges Schwert.

Ich will das hier nur mal klarstellen und es soll hier keine Diskussion darüber ausbrechen. Dazu nen neuen Thread oder per PN

[rotwang]

Übrigens habe ich zu Ostern am security@lancom.de gemailt und gefragt, inwieweit in LANCOM Produkten
die xz Tools enthalten sind.

Erst weit nach Ostern schrieb man mir das man diese Email Adresse nicht täglich monitort und schon garnicht am Wochenende und zu Feiertagen.
Man möge doch bitte einen Case aufmachen.

Habt Ihr denn ein entsprechendes SLA mit LANCOM abgeschlossen, das in so einem Fall schnellere Antworten garantieren würde?

[tstimper]

Wenn Urlaub ist, ist Urlaub. So ist das halt.

Was ist denn das für ein Denken?

Ein Hersteller von Security Lösungen hat keinen Urlaub.

Und wenn nach den ersten Emails an den Hersteller
vom wem auch immer nichts kommuniziert wird
und es im Falle der UFs vier Tage braucht für einen Fix,
dann ist das schlimm.

Vier Tage lang hat die gesamte installierte Basis aller UFs,
die AV Scan enabled hatten , keine Updates bekommen.

Das ist weder eine Lappalie noch bedarf es dazu eines Cases mit SLA

Viele Grüße

ts

[sebsch134]

Wie gesagt, wir wollen hier keine Diskussion über Arbeitsrecht in Deutschland etc. aufmachen.

Das ist viel zu kurz gedacht zu sagen es gibt keinen Urlaub. Wir sind hier nicht in Amerika.

Wenn ich Urlaub habe, hab ich Urlaub und wenn Feiertag ist, ist Feiertag. Da geht's halt danach weiter, so ist das eben in Deutschland wo es Arbeitsrechte gibt. Da kann sonst was brennen.

Sicherlich gibt es eine Notensetzung, aber bei Firmwarerelease und Update ist nicht von einer Notbesetzung zu bewerkstelligen.
Genausowenig ist eine Firewall als Virenschutz ausreichend und 4 Tage sind in dem Fall zwar maximal unglücklich aber völlig tragbar.

Bitte alles weitere in einem anderen Thread oder per PN. Ich bin hier raus, da das hier zu nix führt.

[tstimper]

Wie gesagt, wir wollen hier keine Diskussion über Arbeitsrecht in Deutschland etc. aufmachen.

Das ist viel zu kurz gedacht zu sagen es gibt keinen Urlaub. Wir sind hier nicht in Amerika.

Wenn ich Urlaub habe, hab ich Urlaub und wenn Feiertag ist, ist Feiertag. Da geht's halt danach weiter, so ist das eben in Deutschland wo es Arbeitsrechte gibt. Da kann sonst was brennen.

Hi sebsch134,

natürlich hat der einzelne Mitarbeiter Urlaub.

Aber nicht die Firma…..

Und mit NIS2 haftet der GF persönlich
Cyber Vorfällen.

Rund um die Uhr, auch in Deutschland und auch in seinem Urlaub.

Die separaten Threads zu den angesprochenen Themen findest Du im Forum.

Ich suche sie raus wenn ich am PC bin.

Wichtig ist das wir gemeinsam das Security Level heben
und auch die Geschwindigkeit mit der Probleme erkannt und gelöst werden


Viele Grüße

ts

[tstimper]

Übrigens habe ich zu Ostern am security@lancom.de gemailt und gefragt, inwieweit in LANCOM Produkten
die xz Tools enthalten sind.

Erst weit nach Ostern schrieb man mir das man diese Email Adresse nicht täglich monitort und schon garnicht am Wochenende und zu Feiertagen.
Man möge doch bitte einen Case aufmachen.

Habt Ihr denn ein entsprechendes SLA mit LANCOM abgeschlossen, das in so einem Fall schnellere Antworten garantieren würde?

Ein SLA hilft bei einem konkreten Problem mit einer Konfiguration.

Eine CVE, eine bekanntgewordene Backdoor ist etwas ,
das das Security Response Team eines Herstellers Produktiv unabhängig von konkreten Cases je nach Schweregrat priorisiert und behandelt. (Dazu gehört der xz Tools Fall)

Ein Ausfall eines angebotenen Services ist einfach etwas,
das die herstellerinterne IT innerhalb der intern festgelegten SLA zu fixen hat.

Das Vergessen des Updatens der AV Channel Zertifikate auf dem im Auftrag von LANCOM betriebenen zentralen AV Update Server für die gesammte installierte UF Basis ( Zehntausende oder hinterttausende UFs) in der Nacht zum 01.10.2023 ( Sonntag vor Brückentag vor Feiertag)
war genau das: Ein Bruch der LANCOM internen SLA zulasten aller UF Kunden, die AV Scan nutzen.

Und zwar war der Ausfall vom 01.10.2023 00:00 Uhr bis zum 04.10.2023 11:00 Uhr

Das sind 83 Stunden bis die LANCOM interne IT (oder der beauftragte Dienstleister) das gefixt hat.
Und gehen Mittag am 02.10.2023 gab es im Forum die ersten Meldungen dazu und Cases wurden aufgemacht
und security@lancom.de wurde angemailt.

Der Support sagte damals das man wegen des Brückentages niemanden erreicht.

Warum schreibe ich das jetzt wieder?
Weil offensichtlich auch beim aktuellen Fall seitens LANCOM erst reagiert wurde als die 90 Tage disclose um waren. Und die Finder der DOS Lücke schreiben,
das LANCOM nicht reagiert hat.

Das muss sich wirklich ändern.

Viele Grüße

ts

[plumpsack]

und was soll das hier?

wenn ein Admin so blöd ist den Zugriff ber HTTP zu erlauben, dann ist das die Blödheit eben dieses Admins und hast *NICHTS* mit Lancom zu tun!

Dieses "A webbrowser with active JavaScript support is required."

scheint wohl ein TM* von Lancom zu sein.

* TM
https://en.wikipedia.org/wiki/Trademark_symbol

Es geht hier nicht "um den Zugriff per HTTP"!

Google oder Bing doch einfach mal nach "A webbrowser with active JavaScript support is required." !

Gibt es da noch andere Geräte außer Lancom?

Gleiches gilt für (over+ISDN)+login
https://www.google.de/search?q=(over+IS ... in+r883vaw
https://www.google.de/search?q=(over+ISDN)+login+883
etc
.

[sebsch134]

Übrigens habe ich zu Ostern am security@lancom.de gemailt und gefragt, inwieweit in LANCOM Produkten
die xz Tools enthalten sind.

Erst weit nach Ostern schrieb man mir das man diese Email Adresse nicht täglich monitort und schon garnicht am Wochenende und zu Feiertagen.
Man möge doch bitte einen Case aufmachen.

Habt Ihr denn ein entsprechendes SLA mit LANCOM abgeschlossen, das in so einem Fall schnellere Antworten garantieren würde?

Ein SLA hilft bei einem konkreten Problem mit einer Konfiguration.

Eine CVE, eine bekanntgewordene Backdoor ist etwas ,
das das Security Response Team eines Herstellers Produktiv unabhängig von konkreten Cases je nach Schweregrat priorisiert und behandelt. (Dazu gehört der xz Tools Fall)

Ein Ausfall eines angebotenen Services ist einfach etwas,
das die herstellerinterne IT innerhalb der intern festgelegten SLA zu fixen hat.

Das Vergessen des Updatens der AV Channel Zertifikate auf dem im Auftrag von LANCOM betriebenen zentralen AV Update Server für die gesammte installierte UF Basis ( Zehntausende oder hinterttausende UFs) in der Nacht zum 01.10.2023 ( Sonntag vor Brückentag vor Feiertag)
war genau das: Ein Bruch der LANCOM internen SLA zulasten aller UF Kunden, die AV Scan nutzen.

Und zwar war der Ausfall vom 01.10.2023 00:00 Uhr bis zum 04.10.2023 11:00 Uhr

Das sind 83 Stunden bis die LANCOM interne IT (oder der beauftragte Dienstleister) das gefixt hat.
Und gehen Mittag am 02.10.2023 gab es im Forum die ersten Meldungen dazu und Cases wurden aufgemacht
und security@lancom.de wurde angemailt.

Der Support sagte damals das man wegen des Brückentages niemanden erreicht.

Warum schreibe ich das jetzt wieder?
Weil offensichtlich auch beim aktuellen Fall seitens LANCOM erst reagiert wurde als die 90 Tage disclose um waren. Und die Finder der DOS Lücke schreiben,
das LANCOM nicht reagiert hat.

Das muss sich wirklich ändern.

Viele Grüße

ts

Zu viele Interna um das zu beantworten.