Centre de sécurité Digi

Terrapin Attack - SSH Vulnerability

Dear valued customers, we want to inform you about a recently discovered Common Vulnerabilities and Exposures (CVE) affecting some of our devices. For more information and recommended actions, please visit the following link. We appreciate your attention to this matter and thank you for your continued trust in our services.

CVE de RealPort

Le document ci-joint comprend les résultats de vulnérabilité d'un rapport que Dragos a soumis. Il s'agit des CVE que Dragos nous a signalés, à nous, Digi International. Un tableau des produits de Digi International qui ont été signalés comme vulnérables par Dragos est inclus.

Ripple20 Public Disclosure

Digi International a récemment pris connaissance du fait que CVE-2020-11901 a toujours un impact sur nos lignes de produits NDS et NET+OS, qui faisaient partie des vulnérabilités Ripple20. Digi a estimé qu'il était approprié de corriger la vulnérabilité. Veuillez consulter notre article basé sur la connaissance pour les versions de correctifs liées à cette vulnérabilité.

Notre équipe de développement a déjà mis au point un correctif pour cette vulnérabilité et nous vous recommandons vivement d'appliquer la mise à jour dès que possible pour garantir la sécurité de votre appareil.

Nous prenons la sécurité de nos produits très au sérieux et nous nous excusons pour tout inconvénient que cela pourrait causer. Si vous avez des questions ou des préoccupations, n'hésitez pas à contacter notre équipe d'assistance.

Suite à l'annonce précédente de Digi de WiFi Frag Attack.

Voici le lien vers notre article basé sur la connaissance qui entre dans le détail de l'attaque par fragments WiFi
Informations sur la sécurité de l'attaque par fragmentation

Mise à jour de sécurité pour les CVE critiques d'OpenSSL : CVE-2022-3786 et CVE-2022-3602

Digi International examine les nouvelles vulnérabilités critiques d'OpenSSL vulnérabilités, CVE-2022-3786, et CVE-2022-3602.

Actuellement, les appareils EX50 et TX64 sont vulnérables à CVE-2022-3786 et CVE-2022-3602. Tous les autres produits Digi Accelerated Linux (DAL) ne sont pas affectés. Les micrologiciels EX50 et TX64 seront mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch.

Digi Embedded Yocto version 4.0-r1 est actuellement vulnérable à CVE-2022-3786 et CVE-2022-3602 et sera mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch. Toutes les autres versions de DEY ne sont pas affectées.

D'autres bibliothèques OpenSSL sont également examinées. Les bibliothèques jugées non à jour recevront également des correctifs.

Si vous avez d'autres questions, ......, nous y répondrons afin d'apaiser vos inquiétudes.

Le processus de soumission des vulnérabilités de sécurité de Digi a changé.

CVE-2022-22963 et CVE-2022-22965 n'ont pas d'impact sur les produits de la marque Digi.

Mise à jour du firmware du Digi Passport

Vulnérabilité de Spring4Shell (CVE-2022-22963)

Boucle infinie OpenSSL dans BN_mod_sqrt() (CVE-2022-0778)

Nous avons identifié que les quatre produits suivants ont des versions vulnérables liées aux vulnérabilités de log4j CVE-2021-44228, et CVE-2021-45046

Notez que ces produits ne sont pas vulnérables à la dernière vulnérabilité de log4j citée sur CVE-2021-45105, et les derniers installateurs ci-dessous portent log4j à la version 2.16. Nous avons fourni les liens directs qui corrigent les CVE mentionnées à côté de chaque produit ci-dessous.

Smart IOmux : Smart IOmux

Digi XCTU : XCTU

Digi XBee Multi Programmer : Multiprogrammeur XBee

Digi XBee Assistant réseau : Digi XBee Assistant réseau

Nous pensons que ces vulnérabilités n'ont pas imposé une exploitation directe dans nos produits parce qu'il s'agit d'applications de bureau exécutées par des utilisateurs individuels, et qu'elles ne sont pas accessibles par Internet ou utilisées par des services web. Les quatre produits ci-dessus sont tous les produits affectés dont nous avons connaissance à l'heure actuelle. Si nous découvrons d'autres problèmes, nous mettrons cette page à jour. Pour plus d'informations sur les produits non affectés, veuillez consulter l'article ci-dessous daté du 14 décembre 2021.

Après une enquête détaillée, Digi a déterminé que Apache Log4j CVE-2021-44228 n'a pas d'impact sur plusieurs de nos produits/familles de produits. Les produits non affectés sont listés ci-dessous.

Si vous ne trouvez pas un produit, veuillez noter que nous poursuivons les tests internes et que nous mettrons à jour la liste ci-dessous dès que les résultats seront connus.

Périphériques non impactés par Apache Log4j CVE-2021 :

• Famille CTEK G6200
• CTEK SkyCloud
• Famille CTEK Z45
• Famille Digi 54xx
• Famille Digi 63xx
• Famille Digi AnywhereUSB (G2)
• Famille Digi AnywhereUSB Plus
• Famille Digi Connect
• Famille Digi Connect EZ
• Famille informatique Digi Connect
• Famille Digi ConnectPort
• Famille Digi ConnectPort LTS
• Famille de capteurs Digi Connect
• Famille Digi Connect WS
• Digi Embedded Android
• Digi Embedded Yocto
• Routeurs Digi EX
• Routeurs Digi IX
• Digi LR54
• Famille Digi One
• La famille Digi Passport
• Famille Digi PortServer TS
• Famille embarquée Digi Rabbit
• Routeurs Digi TX
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

Plateformes de gestion/logiciels :

• AnywhereUSB Manager
• Aview
• ARMT
• AVWOB
• Digi Navigator
• Digi Remote Manager
• Digi Xbee application mobile
• Dynamique C
• Phare
• Realport
• Utilitaire de configuration du concentrateur à distance

Vulnérabilité de Apache Log4j CVE-2021-44228

FragAttacks - Attaques de fregmentation et d'agrégation WiFi

Pour l'instant, Digi est toujours en train d'examiner ces attaques et leur impact sur nos appareils. D'après la nature des attaques, nous nous attendons à ce que les appareils Digi soient touchés.

Cependant, il est essentiel de noter que, même avec ces attaques, DIgi a toujours eu pour politique et a toujours suggéré que la communication réseau ne devrait jamais reposer sur les protections et les normes des couches de données (WiFi/BlueTooth). Beaucoup d'entre elles sont implémentées en HW et peuvent être difficiles à changer. Si de bonnes pratiques de réseau sont utilisées (TLS/Certificats, etc.), ces vulnérabilités n'ont pas d'impact réel. Ces vulnérabilités ne peuvent avoir un impact que SI d'autres failles ou problèmes sont présents.

Digi a l'intention de résoudre ces problèmes afin de préserver sa stratégie de défense en profondeur de la sécurité de ses produits. En raison de la complexité de ces problèmes, nous pensons être en mesure de les résoudre d'ici le quatrième trimestre de 2021 ou plus tôt si possible.

AMNESIA:33 - VU#815128 - Plusieurs piles TCP/IP utilisées dans l'Internet des objets (IoT ) présentent plusieurs vulnérabilités découlant d'une mauvaise gestion de la mémoire.

RIPPLE20 - Multiples vulnérabilités dans le logiciel embarqué TRECK TCP/IP - VU#257161

• Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, et Digi Connect® ES ; Digi Connect® 9C, Digi Connect® 9P ;
• Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4 ;
• Digi AnywhereUSB® (First et Second Gen, PAS Plus) ;
• NetSilicon 7250, 9210, 9215, 9360, 9750 ;
• Tous les produits utilisant les environnements de développement NET+OS 7.X.

Attaque par réflexion sur les routeurs des séries WR11,WR21,WR31,WR41,WR44 - VU#636397 - CVE-2020-10136

Une vulnérabilité de haut niveau (CVSS => 7.0) a été découverte sur les routeurs cellulaires Digi WR11,WR21,WR31,WR41, et WR44. L'attaque permet d'utiliser l'encapsulation IP-in-IP pour acheminer un trafic réseau arbitraire à travers un dispositif vulnérable.

Veuillez télécharger le micrologiciel V8.1.0.1 (ou supérieur) pour corriger ce problème. Vous pouvez également activer la fonction de pare-feu sur le port de l'interface WAN (ou de l'interface cellulaire) de l'appareil pour limiter cette attaque.

Pour plus d'informations sur cette vulnérabilité, veuillez consulter l'article de la base de connaissances dans la section support de Digi.

Randomisation des valeurs éphémères de Secure Session SRP

Une vulnérabilité a été découverte sur les firmwares Digi XBee 3 Zigbee et Digi XBee 3 802.15.4 où les valeurs éphémères utilisées pour l'authentification Secure Session SRP ne sont pas randomisées à moins que BLE soit activé. Cette fonctionnalité est généralement utilisée pour sécuriser les réseaux contre une configuration à distance non autorisée.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Les clés de transport Zigbee envoyées en clair

Une vulnérabilité a été découverte sur les modules XBee ZigBee de génération antérieure (S2B, S2C et S2D). Un routeur précédemment associé au réseau peut être autorisé à revenir sur le réseau sécurisé en utilisant une clé de liaison préconfigurée invalide. Après quoi, ce nœud pourrait transmettre par inadvertance la clé du réseau "en clair" aux dispositifs qui tentent de s'y joindre par son intermédiaire.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Vulnérabilités de Digi ConnectPort LTS - 1 vulnérabilité de téléchargement sans restriction et 3 vulnérabilités de script de site croisé stockées - Avis ICS (ICSA-20-042-13)

Les chercheurs en vulnérabilité Murat Aydemir, et Fatih Kayran ont découvert les vulnérabilités ci-dessus dans l'interface web du firmware ConnectPort LTS de Digi ConnectPort LTS. La solution suggérée pour ces problèmes est une mise à jour du firmware à la dernière version de votre produit. Pour obtenir les conseils complets de l'US-CERT, veuillez consulter : https://www.us-cert.gov/ics/advisories/icsa-20-042-13.

Pour les mises à jour du micrologiciel, rendez-vous sur : https://www.digi.com/support/supporttype?type=firmware.

Vulnérabilité "SACK" - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 et CVE-2019-11479)

Digi LR54/WR64/WR54 CVE-2018-20162 Vulnérabilité majeure à la sécurité - Restricted Shell escape

vulnérabilité critique de libSSH : CVE-2018-10933

Vulnérabilités Spectre et Meltdown - (CVE-2017-5715, CVE-2017-5753, et CVE-2017-5754)

Digi est conscient des vulnérabilités Spectre et Meltdown qui ont été récemment publiées. Ces vulnérabilités ont un impact sur la confidentialité des données s'exécutant sur les processeurs Intel, AMD et ARM.

Pour les produits matériels de Digi, nous n'utilisons pas de processeurs Intel ou AMD, et par conséquent la vulnérabilité "Meltdown" n'affecte pas les produits matériels de Digi.

Pour la vulnérabilité Spectre, les équipes de sécurité de Digi travaillent à déterminer les impacts pratiques et les correctifs sur les produits matériels Digi qui utilisent des processeurs ARM.

Pour Digi Remote Manager & Device Cloud, nous travaillons avec nos fournisseurs pour traiter Spectre et Meltdown.

Des informations supplémentaires seront fournies dès qu'elles seront disponibles. Pour plus d'informations sur ces vulnérabilités, veuillez consulter le site web https://meltdownattack.com/.

Veuillez continuer à consulter cet espace pour les mises à jour, ou vous abonner au flux RSS ci-dessus.

Vulnérabilités découvertes avec les routeurs cellulaires TransPort WR Series

Trois vulnérabilités ont été découvertes par Kasperski Labs dans les routeurs de transport de la série WR. Ces vulnérabilités sont classées de haute à basse. Les appareils concernés sont les Digi TransPort WR11, WR21, WR41, WR44, et le WR31. Cela inclut également les versions "R" et "RR". Les services vulnérables impactés sont SNMP, FTP, et l'interface de ligne de commande. Pour plus d'informations sur les vulnérabilités découvertes, y compris les correctifs, les mesures d'atténuation et le risque global, veuillez consulter l'article de la base de connaissances.

Vulnérabilité de Blueborne

Service réseau DNSmasq (CVE-2017-14491)

Nous avons évalué l'impact de cette vulnérabilité sur nos appareils et avons conclu que le Transport LR54 est le seul appareil Digi concerné. Nous avons mis à disposition un correctif pour cette vulnérabilité dans les versions 3.1.0.4 et supérieures du micrologiciel. Veuillez consulter le site de support Digi pour les versions de firmware du produit LR54.

Attaque KRACK

Enquêtes sur l'impact du botnet Mirai

Des exploits pratiques pour le hachage SHA1 ont maintenant été découverts

OpenSSL - Nouvelle version de sécurité 1.1.0c

Dirty COW - (CVE-2016-5195)