Centre de sécurité Digi

Gestion incorrecte de l'authentification pour Digi PortServer TS ; Digi One SP, SP IA, IA ; Digi One IAP

Digi International a identifié une faille de sécurité affectant toutes les versions de ces produits dont le micrologiciel est antérieur à 2025 :

• PortServer TS
• Digi One SP/Digi One SP IA/Digi One IA
• Digi One IAP

Nous nous engageons à assurer la sécurité et l'intégrité de nos produits et la sécurité de nos clients. Dès la découverte de ce problème, notre équipe d'ingénieurs a entamé une enquête approfondie et a mis au point un correctif pour remédier à la vulnérabilité.

Un correctif de sécurité a été publié pour ConnectPort LTS

Un ensemble de correctifs de sécurité visant à améliorer le traitement des requêtes dans l'interface web du Digi ConnectPort LTS a été publié et est prêt à être téléchargé sur le lien suivant :"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware".

Les clients qui ne peuvent pas mettre à jour le micrologiciel doivent désactiver la page web de l'unité ConnectPort LTS jusqu'à ce qu'ils puissent programmer une mise à jour.

Les commandes pour désactiver et réactiver le service web à partir de la ligne de commande sont les suivantes :

#> set service ra=10,11 state=off

pour réactiver le service web :

#> set service ra=10,11 state=on

Un correctif de sécurité a été publié pour WR11, WR21, WR31, WR44R, WR44RR.

Un correctif de sécurité a été publié pour les WR11, WR21, WR31, WR44R, WR44RR Version 8.6.0.4 pour corriger l'entité SSH afin d'initialiser une variable non initialisée, empêchant l'achèvement d'une session SSH non authentifiée de commencer après l'établissement de la première session SSH. Veuillez télécharger le dernier firmware sur notre site d'assistance ou via Digi Remote Manager

Terrapin Attack - Vulnérabilité SSH

Chers clients, nous souhaitons vous informer de la découverte récente d'une vulnérabilité commune (Common Vulnerabilities and Exposures - CVE) affectant certains de nos appareils. Pour plus d'informations et les actions recommandées, veuillez consulter le lien suivant. Nous apprécions l'attention que vous portez à cette question et vous remercions de la confiance que vous continuez d'accorder à nos services.

CVE de RealPort

Le document ci-joint comprend les résultats de vulnérabilité d'un rapport que Dragos a soumis. Il s'agit des CVE que Dragos nous a signalés, à nous, Digi International. Un tableau des produits de Digi International qui ont été signalés comme vulnérables par Dragos est inclus.

Ripple20 Public Disclosure

Digi International a récemment pris connaissance du fait que CVE-2020-11901 a toujours un impact sur nos lignes de produits NDS et NET+OS, qui faisaient partie des vulnérabilités Ripple20. Digi a estimé qu'il était approprié de corriger la vulnérabilité. Veuillez consulter notre article basé sur la connaissance pour les versions de correctifs liées à cette vulnérabilité.

Notre équipe de développement a déjà mis au point un correctif pour cette vulnérabilité et nous vous recommandons vivement d'appliquer la mise à jour dès que possible pour garantir la sécurité de votre appareil.

Nous prenons la sécurité de nos produits très au sérieux et nous nous excusons pour tout inconvénient que cela pourrait causer. Si vous avez des questions ou des préoccupations, n'hésitez pas à contacter notre équipe d'assistance.

Suite à l'annonce précédente de Digi de WiFi Frag Attack.

Voici le lien vers notre article basé sur la connaissance qui entre dans le détail de l'attaque par fragments WiFi
Informations sur la sécurité de l'attaque par fragmentation

Mise à jour de sécurité pour les CVE critiques d'OpenSSL : CVE-2022-3786 et CVE-2022-3602

Digi International examine les nouvelles vulnérabilités critiques d'OpenSSL vulnérabilités, CVE-2022-3786, et CVE-2022-3602.

Actuellement, les appareils EX50 et TX64 sont vulnérables à CVE-2022-3786 et CVE-2022-3602. Tous les autres produits Digi Accelerated Linux (DAL) ne sont pas affectés. Les micrologiciels EX50 et TX64 seront mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch.

Digi Embedded Yocto version 4.0-r1 est actuellement vulnérable à CVE-2022-3786 et CVE-2022-3602 et sera mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch. Toutes les autres versions de DEY ne sont pas affectées.

D'autres bibliothèques OpenSSL sont également examinées. Les bibliothèques jugées non à jour recevront également des correctifs.

Si vous avez d'autres questions, ......, nous y répondrons afin d'apaiser vos inquiétudes.

En ce qui concerne la loi californienne SB-327 et l'avis CISA 22-216-01 relatifs aux appareils Digi Connect Port X fabriqués avant le 1-1-2020

Digi International recommande aux utilisateurs des appareils Connect Port X fabriqués avant le 1-1-2020 de changer le mot de passe par défaut de l'utilisateur root par une valeur personnalisée sur l'appareil.

Le processus de soumission des vulnérabilités de sécurité de Digi a changé.

Vous pouvez soumettre des vulnérabilités dans le coin supérieur droit en remplissant le formulaire de Bugcrowd. Nous encourageons les chercheurs ou les clients à fournir un courriel pour mieux communiquer directement avec vous. Veuillez soumettre à nouveau toute vulnérabilité qui, au cours des 90 derniers jours, a été envoyée à security@digi.com et à laquelle nous n'avons pas répondu. Nous vous remercions de continuer à nous aider à sécuriser les produits de Digi International Inc.

Les hachages de validation des logiciels font désormais partie des notes de mise à jour

Visitez le site d'assistance Digi et trouvez votre produit

CVE-2022-22963 et CVE-2022-22965 n'ont pas d'impact sur les produits de la marque Digi.

Après une vérification approfondie, les produits de la marque Digi ne sont vulnérables ni à CVE-2022-22963 ni à CVE-2022-22965 (Spring4Shell).

Mise à jour du firmware du Digi Passport

Un correctif de sécurité visant à améliorer la manière dont les demandes sont traitées dans l'interface web a été publié et peut être téléchargé à partir du lien suivant : https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/

Vulnérabilité de Spring4Shell (CVE-2022-22963)

Digi étudie actuellement l'impact sur l'ensemble de nos lignes de produits. Des mises à jour seront publiées ici.

Boucle infinie OpenSSL dans BN_mod_sqrt() (CVE-2022-0778)

Digi étudie actuellement l'impact sur l'ensemble de nos lignes de produits. Des mises à jour seront publiées ici.

Nous avons identifié que les quatre produits suivants ont des versions vulnérables liées aux vulnérabilités de log4j CVE-2021-44228, et CVE-2021-45046

Notez que ces produits ne sont pas vulnérables à la dernière vulnérabilité de log4j citée sur CVE-2021-45105, et les derniers installateurs ci-dessous portent log4j à la version 2.16. Nous avons fourni les liens directs qui corrigent les CVE mentionnées à côté de chaque produit ci-dessous.

Smart IOmux : Smart IOmux

Digi XCTU : XCTU

Digi XBee Multi Programmer : Multiprogrammeur XBee

Digi XBee Assistant réseau : Digi XBee Assistant réseau

Nous pensons que ces vulnérabilités n'ont pas imposé une exploitation directe dans nos produits parce qu'il s'agit d'applications de bureau exécutées par des utilisateurs individuels, et qu'elles ne sont pas accessibles par Internet ou utilisées par des services web. Les quatre produits ci-dessus sont tous les produits affectés dont nous avons connaissance à l'heure actuelle. Si nous découvrons d'autres problèmes, nous mettrons cette page à jour. Pour plus d'informations sur les produits non affectés, veuillez consulter l'article ci-dessous daté du 14 décembre 2021.

Après une enquête détaillée, Digi a déterminé que Apache Log4j CVE-2021-44228 n'a pas d'impact sur plusieurs de nos produits/familles de produits. Les produits non affectés sont listés ci-dessous.

Si vous ne trouvez pas un produit, veuillez noter que nous poursuivons les tests internes et que nous mettrons à jour la liste ci-dessous dès que les résultats seront connus.

Périphériques non impactés par Apache Log4j CVE-2021 :

• Famille CTEK G6200
• CTEK SkyCloud
• Famille CTEK Z45
• Famille Digi 54xx
• Famille Digi 63xx
• Famille Digi AnywhereUSB (G2)
• Famille Digi AnywhereUSB Plus
• Famille Digi Connect
• Famille Digi Connect EZ
• Famille informatique Digi Connect
• Famille Digi ConnectPort
• Famille Digi ConnectPort LTS
• Famille de capteurs Digi Connect
• Famille Digi Connect WS
• Digi Embedded Android
• Digi Embedded Yocto
• Routeurs Digi EX
• Routeurs Digi IX
• Digi LR54
• Famille Digi One
• La famille Digi Passport
• Famille Digi PortServer TS
• Famille embarquée Digi Rabbit
• Routeurs Digi TX
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

Plateformes de gestion/logiciels :

• AnywhereUSB Manager
• Aview
• ARMT
• AVWOB
• Digi Navigator
• Digi Remote Manager
• Digi Xbee application mobile
• Dynamique C
• Phare
• Realport
• Utilitaire de configuration du concentrateur à distance

Vulnérabilité de Apache Log4j CVE-2021-44228

Digi étudie actuellement l'impact sur l'ensemble de notre gamme de produits. Nous n'avons pas découvert d'impact pour le moment. Nous continuerons à travailler avec diligence, et nous ferons une mise à jour dès que nous aurons une conclusion à travers l'organisation.

FragAttacks - Attaques de fregmentation et d'agrégation WiFi

Pour l'instant, Digi est toujours en train d'examiner ces attaques et leur impact sur nos appareils. D'après la nature des attaques, nous nous attendons à ce que les appareils Digi soient touchés.

Cependant, il est essentiel de noter que, même avec ces attaques, DIgi a toujours eu pour politique et a toujours suggéré que la communication réseau ne devrait jamais reposer sur les protections et les normes des couches de données (WiFi/BlueTooth). Beaucoup d'entre elles sont implémentées en HW et peuvent être difficiles à changer. Si de bonnes pratiques de réseau sont utilisées (TLS/Certificats, etc.), ces vulnérabilités n'ont pas d'impact réel. Ces vulnérabilités ne peuvent avoir un impact que SI d'autres failles ou problèmes sont présents.

Digi a l'intention de résoudre ces problèmes afin de préserver sa stratégie de défense en profondeur de la sécurité de ses produits. En raison de la complexité de ces problèmes, nous pensons être en mesure de les résoudre d'ici le quatrième trimestre de 2021 ou plus tôt si possible.

AMNESIA:33 - VU#815128 - Plusieurs piles TCP/IP utilisées dans l'Internet des objets (IoT ) présentent plusieurs vulnérabilités découlant d'une mauvaise gestion de la mémoire.

Digi International n'a jamais fabriqué de produits qui pourraient être affectés par les vulnérabilités AMNESIA:33. Aucune action n'est requise de la part de nos clients.

Digi International a publié des hachages de validation de logiciels

Ce document fournira des hachages cryptographiques de fichiers pour valider que le logiciel reçu est le logiciel que Digi a officiellement fourni. Ces méthodes de validation humaine sont requises pour CIP-010-3 R1 Partie 1.6 et pour d'autres bonnes pratiques de sécurité avant le déploiement de logiciels ou de micrologiciels critiques pour l'entreprise.
Télécharger

RIPPLE20 - Multiples vulnérabilités dans le logiciel embarqué TRECK TCP/IP - VU#257161

Un certain nombre de vulnérabilités de haut niveau (CVE) affectant le traitement de la pile interne TCP/IP ont été identifiées. Digi travaille avec ses clients depuis février pour installer des mises à jour du micrologiciel afin de résoudre le problème. Dans des circonstances spécifiques, il est possible que ces vulnérabilités conduisent à une exécution de code à distance via une attaque en réseau sans authentification.

Score CVSSv3.1 de 8.1 : CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Plusieurs produits Digi ont été identifiés comme impactés, et nous vous recommandons fortement de mettre à jour votre firmware immédiatement.

Ces produits sont les suivants :

• Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, et Digi Connect® ES ; Digi Connect® 9C, Digi Connect® 9P ;
• Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4 ;
• Digi AnywhereUSB® (First et Second Gen, PAS Plus) ;
• NetSilicon 7250, 9210, 9215, 9360, 9750 ;
• Tous les produits utilisant les environnements de développement NET+OS 7.X.

Pour plus d'informations, lisez l'article de la base de connaissances Digi.

Attaque par réflexion sur les routeurs des séries WR11,WR21,WR31,WR41,WR44 - VU#636397 - CVE-2020-10136

Une vulnérabilité de haut niveau (CVSS => 7.0) a été découverte sur les routeurs cellulaires Digi WR11,WR21,WR31,WR41, et WR44. L'attaque permet d'utiliser l'encapsulation IP-in-IP pour acheminer un trafic réseau arbitraire à travers un dispositif vulnérable.

Veuillez télécharger le micrologiciel V8.1.0.1 (ou supérieur) pour corriger ce problème. Vous pouvez également activer la fonction de pare-feu sur le port de l'interface WAN (ou de l'interface cellulaire) de l'appareil pour limiter cette attaque.

Pour plus d'informations sur cette vulnérabilité, veuillez consulter l'article de la base de connaissances dans la section support de Digi.

Randomisation des valeurs éphémères de Secure Session SRP

Une vulnérabilité a été découverte sur les firmwares Digi XBee 3 Zigbee et Digi XBee 3 802.15.4 où les valeurs éphémères utilisées pour l'authentification Secure Session SRP ne sont pas randomisées à moins que BLE soit activé. Cette fonctionnalité est généralement utilisée pour sécuriser les réseaux contre une configuration à distance non autorisée.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Les clés de transport Zigbee envoyées en clair

Une vulnérabilité a été découverte sur les modules XBee ZigBee de génération antérieure (S2B, S2C et S2D). Un routeur précédemment associé au réseau peut être autorisé à revenir sur le réseau sécurisé en utilisant une clé de liaison préconfigurée invalide. Après quoi, ce nœud pourrait transmettre par inadvertance la clé du réseau "en clair" aux dispositifs qui tentent de s'y joindre par son intermédiaire.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Vulnérabilités de Digi ConnectPort LTS - 1 vulnérabilité de téléchargement sans restriction et 3 vulnérabilités de script de site croisé stockées - Avis ICS (ICSA-20-042-13)

Les chercheurs en vulnérabilité Murat Aydemir, et Fatih Kayran ont découvert les vulnérabilités ci-dessus dans l'interface web du firmware ConnectPort LTS de Digi ConnectPort LTS. La solution suggérée pour ces problèmes est une mise à jour du firmware à la dernière version de votre produit. Pour obtenir les conseils complets de l'US-CERT, veuillez consulter : https://www.us-cert.gov/ics/advisories/icsa-20-042-13.

Pour les mises à jour du micrologiciel, rendez-vous sur : https://www.digi.com/support/supporttype?type=firmware.

Suivi de l'article de la base de connaissances sur la vulnérabilité de SACK

Pour une liste plus détaillée des appareils Digi concernés par la vulnérabilité SACK, voir l'article KB suivant, https://www.digi.com/support/knowledge-base/sack_vulnerability

Vulnérabilité "SACK" - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 et CVE-2019-11479)

Digi Intl. a pris connaissance de quatre vulnérabilités récentes connues sous le nom de vulnérabilités "SACK". Nous sommes actuellement en train d'examiner l'impact et de coordonner les corrections dans nos produits touchés connus. De plus amples informations seront disponibles la semaine prochaine sur le calendrier des corrections. Il est essentiel de noter que ces vulnérabilités n'ont PAS d'impact sur la confidentialité et l'intégrité des appareils Digi. Toutes ces vulnérabilités sont classées comme des problèmes de "déni de service". Cela signifie qu'il peut être possible d'éjecter un appareil du réseau ou de le redémarrer.

Digi LR54/WR64/WR54 CVE-2018-20162 Vulnérabilité majeure à la sécurité - Restricted Shell escape

Une vulnérabilité a été découverte par Stig Palmquist dans les routeurs mentionnés ci-dessus. Cette vulnérabilité permet à une personne disposant d'un accès complet à la ligne de commande (full-admin) d'obtenir un shell root sur l'appareil. Cette vulnérabilité n'est pas exploitable à distance. Nous suggérons aux clients de passer à une version supérieure ou égale à 4.5.1. Il est également à noter que même avec cette vulnérabilité, de nombreuses parties critiques du routeur sont en lecture seule, et le code installé est protégé par un processus de démarrage sécurisé. Plus de détails seront publiés dans la base de connaissances de Digi sur ce problème.

vulnérabilité critique de libSSH : CVE-2018-10933

Digi a pris connaissance d'une vulnérabilité critique dans les bibliothèques libssh. Nous avons effectué une analyse d'impact pour identifier si des produits Digi sont affectés. Nous pensons pour l'instant qu'AUCUN produit Digi n'est impacté par cette vulnérabilité, car nous n'utilisons pas cette bibliothèque pour des fonctionnalités dans nos produits. Nous continuerons à surveiller cette situation, et nous publierons plus d'informations si le statut change.

Vulnérabilités Spectre et Meltdown - (CVE-2017-5715, CVE-2017-5753, et CVE-2017-5754)

Digi est conscient des vulnérabilités Spectre et Meltdown qui ont été récemment publiées. Ces vulnérabilités ont un impact sur la confidentialité des données s'exécutant sur les processeurs Intel, AMD et ARM.

Pour les produits matériels de Digi, nous n'utilisons pas de processeurs Intel ou AMD, et par conséquent la vulnérabilité "Meltdown" n'affecte pas les produits matériels de Digi.

Pour la vulnérabilité Spectre, les équipes de sécurité de Digi travaillent à déterminer les impacts pratiques et les correctifs sur les produits matériels Digi qui utilisent des processeurs ARM.

Pour Digi Remote Manager & Device Cloud, nous travaillons avec nos fournisseurs pour traiter Spectre et Meltdown.

Des informations supplémentaires seront fournies dès qu'elles seront disponibles. Pour plus d'informations sur ces vulnérabilités, veuillez consulter le site web https://meltdownattack.com/.

Veuillez continuer à consulter cet espace pour les mises à jour, ou vous abonner au flux RSS ci-dessus.

Vulnérabilités découvertes avec les routeurs cellulaires TransPort WR Series

Trois vulnérabilités ont été découvertes par Kasperski Labs dans les routeurs de transport de la série WR. Ces vulnérabilités sont classées de haute à basse. Les appareils concernés sont les Digi TransPort WR11, WR21, WR41, WR44, et le WR31. Cela inclut également les versions "R" et "RR". Les services vulnérables impactés sont SNMP, FTP, et l'interface de ligne de commande. Pour plus d'informations sur les vulnérabilités découvertes, y compris les correctifs, les mesures d'atténuation et le risque global, veuillez consulter l'article de la base de connaissances.

Vulnérabilité de Blueborne

Digi a connaissance de la vulnérabilité BlueBorne liée à la pénétration des connexions Bluetooth, qui peut entraîner un accès non autorisé aux appareils et/ou aux données. BlueBorne affecte les ordinateurs ordinaires, les téléphones mobiles, les appareils intégrés et d'autres appareils connectés dotés d'une connectivité Bluetooth. Veuillez consulter le site https://www.armis.com/blueborne/ pour obtenir des informations détaillées sur la vulnérabilité. Pour les produits intégrés, nous recommandons vivement aux clients d'examiner les informations publiques disponibles sur la vulnérabilité Blueborne et d'appliquer des approches d'atténuation, y compris les correctifs déjà disponibles dans la communauté. Nous avons également l'intention de fournir des correctifs et des solutions de contournement pour les vulnérabilités connexes dès que possible. Dans l'intervalle, veuillez nous contacter si vous avez des questions sur la manière dont cette vulnérabilité peut affecter les produits/plateformes Digi que vous utilisez.

Service réseau DNSmasq (CVE-2017-14491)

Nous avons évalué l'impact de cette vulnérabilité sur nos appareils et avons conclu que le Transport LR54 est le seul appareil Digi concerné. Nous avons mis à disposition un correctif pour cette vulnérabilité dans les versions 3.1.0.4 et supérieures du micrologiciel. Veuillez consulter le site de support Digi pour les versions de firmware du produit LR54.

Attaque KRACK

Digi a connaissance d'une vulnérabilité dans le protocole de sécurité Wi-Fi WPA2. Nous avons publié un nouveau firmware pour les produits concernés. Pour une déclaration technique complète sur les produits concernés et les solutions de contournement, veuillez consulter notre article de la base de connaissances.

Enquêtes sur l'impact du botnet Mirai

À l'heure actuelle, nous avons examiné la situation et nous n'avons connaissance d'aucun de nos appareils pouvant être compromis par ce botnet. Nous continuons à surveiller cela au cas où cela changerait à l'avenir.

Évaluation de la vulnérabilité de sécurité VU#561444

Informations complémentaires sur CVE-2014-9222, CVE-2014-9223
De nombreux produits Digi contiennent et utilisent la technologie de serveur web RomPager by Allegrosoft. Il a été porté à notre attention que ce serveur web intégré, qui est utilisé pour la gestion de nos appareils, contient ce que nous avons défini comme une vulnérabilité critique. Nous demandons instamment à tout client qui possède un de ces produits dont le serveur web administratif est disponible sur des réseaux non sécurisés de mettre à jour le micrologiciel vers une version corrigée ou de désactiver le serveur web pour la gestion de ces appareils.

Des exploits pratiques pour le hachage SHA1 ont maintenant été découverts

Bien que nous ayons fait migrer l'utilisation de SHA1 dans nos produits au cours des dernières années, nous réévaluons actuellement nos produits pour savoir s'ils utilisent encore le hachage SHA1. Nous prévoyons que les prochaines versions supprimeront l'utilisation du hachage SHA1 et passeront respectivement aux routines SHA3 ou SHA2, plus puissantes.

OpenSSL - Nouvelle version de sécurité 1.1.0c

Nous sommes toujours en train d'examiner l'impact de cette situation sur nos appareils. Nous pensons que cela n'aura pas d'impact pour Digi, car nous utilisons la version OpenSSL long term support (LTS) d'OpenSSL v1.0.2 dans nos produits, et non v1.1.0.

Dirty COW - (CVE-2016-5195)

Nous sommes en train de tester entièrement nos produits contre cette vulnérabilité. Actuellement, nous avons trouvé quelques appareils qui sont légèrement touchés. Cependant, en raison du type de produit, il n'y a aucun moyen d'exploiter efficacement les appareils avec cette vulnérabilité.