Centre de sécurité Digi

Bienvenue au Centre de sécurité de Digi, où nous nous efforcerons de faire de ce site votre unique point d'accès à toutes les nouvelles, informations et ressources liées à nos produits et services en matière de sécurité.


 

Alertes

31 octobre 2024
Un correctif de sécurité a été publié pour ConnectPort LTS

Un ensemble de correctifs de sécurité visant à améliorer le traitement des requêtes dans l'interface web du Digi ConnectPort LTS a été publié et est prêt à être téléchargé sur le lien suivant :"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware".

Les clients qui ne peuvent pas mettre à jour le micrologiciel doivent désactiver la page web de l'unité ConnectPort LTS jusqu'à ce qu'ils puissent programmer une mise à jour.

Les commandes pour désactiver et réactiver le service web à partir de la ligne de commande sont les suivantes :

#> set service ra=10,11 state=off

pour réactiver le service web :

#> set service ra=10,11 state=on

En savoir plus
08 juillet 2024
Un correctif de sécurité a été publié pour WR11, WR21, WR31, WR44R, WR44RR.

Un correctif de sécurité a été publié pour les WR11, WR21, WR31, WR44R, WR44RR Version 8.6.0.4 pour corriger l'entité SSH afin d'initialiser une variable non initialisée, empêchant l'achèvement d'une session SSH non authentifiée de commencer après l'établissement de la première session SSH. Veuillez télécharger le dernier firmware sur notre site d'assistance ou via Digi Remote Manager

07 mars 2024
Terrapin Attack - Vulnérabilité SSH

Chers clients, nous souhaitons vous informer de la découverte récente d'une vulnérabilité commune (Common Vulnerabilities and Exposures - CVE) affectant certains de nos appareils. Pour plus d'informations et les actions recommandées, veuillez consulter le lien suivant. Nous apprécions l'attention que vous portez à cette question et vous remercions de la confiance que vous continuez d'accorder à nos services.

En savoir plus
25 août 2023
CVE de RealPort

Le document ci-joint comprend les résultats de vulnérabilité d'un rapport que Dragos a soumis. Il s'agit des CVE que Dragos nous a signalés, à nous, Digi International. Un tableau des produits de Digi International qui ont été signalés comme vulnérables par Dragos est inclus.

En savoir plus
20 juillet 2023
Ripple20 Public Disclosure

Digi International a récemment pris connaissance du fait que CVE-2020-11901 a toujours un impact sur nos lignes de produits NDS et NET+OS, qui faisaient partie des vulnérabilités Ripple20. Digi a estimé qu'il était approprié de corriger la vulnérabilité. Veuillez consulter notre article basé sur la connaissance pour les versions de correctifs liées à cette vulnérabilité.

Notre équipe de développement a déjà mis au point un correctif pour cette vulnérabilité et nous vous recommandons vivement d'appliquer la mise à jour dès que possible pour garantir la sécurité de votre appareil.

Nous prenons la sécurité de nos produits très au sérieux et nous nous excusons pour tout inconvénient que cela pourrait causer. Si vous avez des questions ou des préoccupations, n'hésitez pas à contacter notre équipe d'assistance.

En savoir plus
05 déc. 2022
Suite à l'annonce précédente de Digi de WiFi Frag Attack.

Voici le lien vers notre article basé sur la connaissance qui entre dans le détail de l'attaque par fragments WiFi
Informations sur la sécurité de l'attaque par fragmentation

09 nov. 2022
Mise à jour de sécurité pour les CVE critiques d'OpenSSL : CVE-2022-3786 et CVE-2022-3602

Digi International examine les nouvelles vulnérabilités critiques d'OpenSSL vulnérabilités, CVE-2022-3786, et CVE-2022-3602.

Actuellement, les appareils EX50 et TX64 sont vulnérables à CVE-2022-3786 et CVE-2022-3602. Tous les autres produits Digi Accelerated Linux (DAL) ne sont pas affectés. Les micrologiciels EX50 et TX64 seront mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch.

Digi Embedded Yocto version 4.0-r1 est actuellement vulnérable à CVE-2022-3786 et CVE-2022-3602 et sera mis à jour pour atténuer ces vulnérabilités dans la prochaine version du patch. Toutes les autres versions de DEY ne sont pas affectées.

D'autres bibliothèques OpenSSL sont également examinées. Les bibliothèques jugées non à jour recevront également des correctifs.

Si vous avez d'autres questions, ......, nous y répondrons afin d'apaiser vos inquiétudes.

08 juillet 2022
Le processus de soumission des vulnérabilités de sécurité de Digi a changé.
Vous pouvez soumettre des vulnérabilités dans le coin supérieur droit en remplissant le formulaire de Bugcrowd. Nous encourageons les chercheurs ou les clients à fournir un email pour mieux communiquer directement avec vous. Veuillez soumettre à nouveau toute vulnérabilité qui, au cours des 90 derniers jours, a été envoyée à security@digi.com et nous ne vous avons pas répondu. Nous apprécions votre service continu pour que les produits de Digi International Inc. restent sécurisés.
19 avril 2022
CVE-2022-22963 et CVE-2022-22965 n'ont pas d'impact sur les produits de la marque Digi.
Après une vérification approfondie, les produits de la marque Digi ne sont vulnérables ni à CVE-2022-22963 ni à CVE-2022-22965 (Spring4Shell).
08 avr. 2022
Mise à jour du firmware du Digi Passport
Un correctif de sécurité visant à améliorer la façon dont les demandes sont traitées dans l'interface web a été publié et peut être téléchargé à partir du lien suivant : https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/
31 mars 2022
Vulnérabilité de Spring4Shell (CVE-2022-22963)
Digi étudie actuellement l'impact sur l'ensemble de nos lignes de produits. Des mises à jour seront publiées ici.
29 mars 2022
Boucle infinie OpenSSL dans BN_mod_sqrt() (CVE-2022-0778)
Digi étudie actuellement l'impact sur l'ensemble de nos lignes de produits. Des mises à jour seront publiées ici.
23 décembre 2021
Nous avons identifié que les quatre produits suivants ont des versions vulnérables liées aux vulnérabilités de log4j CVE-2021-44228, et CVE-2021-45046

Notez que ces produits ne sont pas vulnérables à la dernière vulnérabilité de log4j citée sur CVE-2021-45105, et les derniers installateurs ci-dessous portent log4j à la version 2.16. Nous avons fourni les liens directs qui corrigent les CVE mentionnées à côté de chaque produit ci-dessous.

Smart IOmux : Smart IOmux

Digi XCTU : XCTU

Digi XBee Multi Programmer : Multiprogrammeur XBee

Digi XBee Assistant réseau : Digi XBee Assistant réseau

Nous pensons que ces vulnérabilités n'ont pas imposé une exploitation directe dans nos produits parce qu'il s'agit d'applications de bureau exécutées par des utilisateurs individuels, et qu'elles ne sont pas accessibles par Internet ou utilisées par des services web. Les quatre produits ci-dessus sont tous les produits affectés dont nous avons connaissance à l'heure actuelle. Si nous découvrons d'autres problèmes, nous mettrons cette page à jour. Pour plus d'informations sur les produits non affectés, veuillez consulter l'article ci-dessous daté du 14 décembre 2021.

14 décembre 2021
Après une enquête détaillée, Digi a déterminé que Apache Log4j CVE-2021-44228 n'a pas d'impact sur plusieurs de nos produits/familles de produits. Les produits non affectés sont listés ci-dessous.

Si vous ne trouvez pas un produit, veuillez noter que nous poursuivons les tests internes et que nous mettrons à jour la liste ci-dessous dès que les résultats seront connus.

Périphériques non impactés par Apache Log4j CVE-2021 :

  • Famille CTEK G6200
  • CTEK SkyCloud
  • Famille CTEK Z45
  • Famille Digi 54xx
  • Famille Digi 63xx
  • Famille Digi AnywhereUSB (G2)
  • Famille Digi AnywhereUSB Plus
  • Famille Digi Connect
  • Famille Digi Connect EZ
  • Famille informatique Digi Connect
  • Famille Digi ConnectPort
  • Famille Digi ConnectPort LTS
  • Famille de capteurs Digi Connect
  • Famille Digi Connect WS
  • Digi Embedded Android
  • Digi Embedded Yocto
  • Routeurs Digi EX
  • Routeurs Digi IX
  • Digi LR54
  • Famille Digi One
  • La famille Digi Passport
  • Famille Digi PortServer TS
  • Famille embarquée Digi Rabbit
  • Routeurs Digi TX
  • Digi WR11
  • Digi WR21
  • Digi WR31
  • Digi WR44R/RR
  • Digi WR54
  • Digi WR64

Plateformes de gestion/logiciels :

  • AnywhereUSB Manager
  • Aview
  • ARMT
  • AVWOB
  • Digi Navigator
  • Digi Remote Manager
  • Digi Xbee application mobile
  • Dynamique C
  • Phare
  • Realport
  • Utilitaire de configuration du concentrateur à distance
13 décembre 2021
Vulnérabilité de Apache Log4j CVE-2021-44228
Digi étudie actuellement l'impact sur l'ensemble de notre gamme de produits. Nous n'avons pas découvert d'impact pour le moment. Nous continuerons à travailler avec diligence, et nous ferons une mise à jour dès que nous aurons une conclusion à travers l'organisation.
14 juin 2021
FragAttacks - Attaques de fregmentation et d'agrégation WiFi

Pour l'instant, Digi est toujours en train d'examiner ces attaques et leur impact sur nos appareils. D'après la nature des attaques, nous nous attendons à ce que les appareils Digi soient touchés.

Cependant, il est essentiel de noter que, même avec ces attaques, DIgi a toujours eu pour politique et a toujours suggéré que la communication réseau ne devrait jamais reposer sur les protections et les normes des couches de données (WiFi/BlueTooth). Beaucoup d'entre elles sont implémentées en HW et peuvent être difficiles à changer. Si de bonnes pratiques de réseau sont utilisées (TLS/Certificats, etc.), ces vulnérabilités n'ont pas d'impact réel. Ces vulnérabilités ne peuvent avoir un impact que SI d'autres failles ou problèmes sont présents.

Digi a l'intention de résoudre ces problèmes afin de préserver sa stratégie de défense en profondeur de la sécurité de ses produits. En raison de la complexité de ces problèmes, nous pensons être en mesure de les résoudre d'ici le quatrième trimestre de 2021 ou plus tôt si possible.

09 déc. 2020
AMNESIA:33 - VU#815128 - Plusieurs piles TCP/IP utilisées dans l'Internet des objets (IoT ) présentent plusieurs vulnérabilités découlant d'une mauvaise gestion de la mémoire.
Digi International n'a jamais fabriqué de produits qui pourraient être affectés par les vulnérabilités AMNESIA:33. Aucune action n'est requise de la part de nos clients.
16 juin 2020
RIPPLE20 - Multiples vulnérabilités dans le logiciel embarqué TRECK TCP/IP - VU#257161
Un certain nombre de vulnérabilités de haut niveau (CVE) qui affectent le traitement de la pile interne TCP/IP ont été identifiées. Digi travaille avec ses clients depuis février pour installer des mises à jour du firmware afin de résoudre le problème. Dans des circonstances spécifiques, il est possible que ces vulnérabilités puissent conduire à une exécution de code à distance via une attaque basée sur le réseau sans authentification.

Score CVSSv3.1 de 8.1 : CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Plusieurs produits Digi ont été identifiés comme étant affectés, et nous vous recommandons fortement de mettre à jour votre firmware immédiatement.

Ces produits comprennent :
  • Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, et Digi Connect® ES ; Digi Connect® 9C, Digi Connect® 9P ;
  • Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4 ;
  • Digi AnywhereUSB® (First et Second Gen, PAS Plus) ;
  • NetSilicon 7250, 9210, 9215, 9360, 9750 ;
  • Tous les produits utilisant les environnements de développement NET+OS 7.X.
Pour plus d'informations, lisez le Article de la base de connaissances Digi.
02 juin 2020
Attaque par réflexion sur les routeurs des séries WR11,WR21,WR31,WR41,WR44 - VU#636397 - CVE-2020-10136

Une vulnérabilité de haut niveau (CVSS => 7.0) a été découverte sur les routeurs cellulaires Digi WR11,WR21,WR31,WR41, et WR44. L'attaque permet d'utiliser l'encapsulation IP-in-IP pour acheminer un trafic réseau arbitraire à travers un dispositif vulnérable.

Veuillez télécharger le micrologiciel V8.1.0.1 (ou supérieur) pour corriger ce problème. Vous pouvez également activer la fonction de pare-feu sur le port de l'interface WAN (ou de l'interface cellulaire) de l'appareil pour limiter cette attaque.

Pour plus d'informations sur cette vulnérabilité, veuillez consulter l'article de la base de connaissances dans la section support de Digi.

En savoir plus
16 mars 2020
Randomisation des valeurs éphémères de Secure Session SRP

Une vulnérabilité a été découverte sur les firmwares Digi XBee 3 Zigbee et Digi XBee 3 802.15.4 où les valeurs éphémères utilisées pour l'authentification Secure Session SRP ne sont pas randomisées à moins que BLE soit activé. Cette fonctionnalité est généralement utilisée pour sécuriser les réseaux contre une configuration à distance non autorisée.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

05 mars 2020
Les clés de transport Zigbee envoyées en clair

Une vulnérabilité a été découverte sur les modules XBee ZigBee de génération antérieure (S2B, S2C et S2D). Un routeur précédemment associé au réseau peut être autorisé à revenir sur le réseau sécurisé en utilisant une clé de liaison préconfigurée invalide. Après quoi, ce nœud pourrait transmettre par inadvertance la clé du réseau "en clair" aux dispositifs qui tentent de s'y joindre par son intermédiaire.

Pour plus d'informations, consultez le site : https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

11 février 2020
Vulnérabilités de Digi ConnectPort LTS - 1 vulnérabilité de téléchargement sans restriction et 3 vulnérabilités de script de site croisé stockées - Avis ICS (ICSA-20-042-13)

Les chercheurs en vulnérabilité Murat Aydemir, et Fatih Kayran ont découvert les vulnérabilités ci-dessus dans l'interface web du firmware ConnectPort LTS de Digi ConnectPort LTS. La solution suggérée pour ces problèmes est une mise à jour du firmware à la dernière version de votre produit. Pour obtenir les conseils complets de l'US-CERT, veuillez consulter : https://www.us-cert.gov/ics/advisories/icsa-20-042-13.

Pour les mises à jour du micrologiciel, rendez-vous sur : https://www.digi.com/support/supporttype?type=firmware.

25 juin 2019
Vulnérabilité "SACK" - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 et CVE-2019-11479)
Digi Intl. a pris connaissance de quatre vulnérabilités récentes connues sous le nom de vulnérabilités "SACK". Nous sommes actuellement en train d'examiner l'impact et de coordonner les corrections dans nos produits touchés connus. De plus amples informations seront disponibles la semaine prochaine sur le calendrier des corrections. Il est essentiel de noter que ces vulnérabilités n'ont PAS d'impact sur la confidentialité et l'intégrité des appareils Digi. Toutes ces vulnérabilités sont classées comme des problèmes de "déni de service". Cela signifie qu'il peut être possible d'éjecter un appareil du réseau ou de le redémarrer. En savoir plus
19 février 2019
Digi LR54/WR64/WR54 CVE-2018-20162 Vulnérabilité majeure à la sécurité - Restricted Shell escape
Une vulnérabilité a été découverte par Stig Palmquist dans les routeurs mentionnés ci-dessus. Cette vulnérabilité permet à une personne disposant d'un accès complet à la ligne de commande (full-admin) d'obtenir un shell root sur l'appareil. Cette vulnérabilité n'est pas exploitable à distance. Nous suggérons aux clients de passer à une version supérieure ou égale à 4.5.1. Il est également à noter que même avec cette vulnérabilité, de nombreuses parties critiques du routeur sont en lecture seule, et le code installé est protégé par un processus de démarrage sécurisé. Plus de détails seront publiés dans la base de connaissances de Digi sur ce problème. En savoir plus
24 octobre 2018
vulnérabilité critique de libSSH : CVE-2018-10933
Digi a pris connaissance d'une vulnérabilité critique dans les bibliothèques libssh. Nous avons effectué une analyse d'impact pour identifier si des produits Digi sont affectés. Nous pensons pour l'instant qu'AUCUN produit Digi n'est impacté par cette vulnérabilité, car nous n'utilisons pas cette bibliothèque pour des fonctionnalités dans nos produits. Nous continuerons à surveiller cette situation, et nous publierons plus d'informations si le statut change. En savoir plus
05 janvier 2018
Vulnérabilités Spectre et Meltdown - (CVE-2017-5715, CVE-2017-5753, et CVE-2017-5754)

Digi est conscient des vulnérabilités Spectre et Meltdown qui ont été récemment publiées. Ces vulnérabilités ont un impact sur la confidentialité des données s'exécutant sur les processeurs Intel, AMD et ARM.

Pour les produits matériels de Digi, nous n'utilisons pas de processeurs Intel ou AMD, et par conséquent la vulnérabilité "Meltdown" n'affecte pas les produits matériels de Digi.

Pour la vulnérabilité Spectre, les équipes de sécurité de Digi travaillent à déterminer les impacts pratiques et les correctifs sur les produits matériels Digi qui utilisent des processeurs ARM.

Pour Digi Remote Manager & Device Cloud, nous travaillons avec nos fournisseurs pour traiter Spectre et Meltdown.

Des informations supplémentaires seront fournies dès qu'elles seront disponibles. Pour plus d'informations sur ces vulnérabilités, veuillez consulter le site web https://meltdownattack.com/.

Veuillez continuer à consulter cet espace pour les mises à jour, ou vous abonner au flux RSS ci-dessus.

29 novembre 2017
Vulnérabilités découvertes avec les routeurs cellulaires TransPort WR Series

Trois vulnérabilités ont été découvertes par Kasperski Labs dans les routeurs de transport de la série WR. Ces vulnérabilités sont classées de haute à basse. Les appareils concernés sont les Digi TransPort WR11, WR21, WR41, WR44, et le WR31. Cela inclut également les versions "R" et "RR". Les services vulnérables impactés sont SNMP, FTP, et l'interface de ligne de commande. Pour plus d'informations sur les vulnérabilités découvertes, y compris les correctifs, les mesures d'atténuation et le risque global, veuillez consulter l'article de la base de connaissances.

En savoir plus
30 octobre 2017
Vulnérabilité de Blueborne
Digi est conscient de la vulnérabilité BlueBorne liée à la pénétration des connexions Bluetooth résultant en un accès potentiellement non autorisé aux appareils et/ou aux données. BlueBorne affecte les ordinateurs ordinaires, les téléphones mobiles, les dispositifs intégrés et autres dispositifs connectés avec une connectivité Bluetooth. Veuillez vous référer à https://www.armis.com/blueborne/ pour obtenir des informations détaillées sur la vulnérabilité. Pour les produits embarqués, nous recommandons fortement aux clients d'examiner les informations publiques disponibles sur la vulnérabilité Blueborne et d'appliquer des approches d'atténuation, y compris les correctifs déjà disponibles dans la communauté. Nous avons également l'intention de fournir des correctifs/contournement pour les vulnérabilités liées dès que possible. Dans l'intervalle, veuillez contactez-nous si vous avez des questions sur la façon dont cette vulnérabilité peut affecter les produits/plateformes Digi que vous utilisez.
20 octobre 2017
Service réseau DNSmasq (CVE-2017-14491)

Nous avons évalué l'impact de cette vulnérabilité sur nos appareils et avons conclu que le Transport LR54 est le seul appareil Digi concerné. Nous avons mis à disposition un correctif pour cette vulnérabilité dans les versions 3.1.0.4 et supérieures du micrologiciel. Veuillez consulter le site de support Digi pour les versions de firmware du produit LR54.

16 octobre 2017
Attaque KRACK
Digi est conscient d'une vulnérabilité au sein du protocole de sécurité Wi-Fi WPA2 défini. Cette vulnérabilité a été définie comme l'attaque KRACK. Nous avons publié un nouveau firmware pour les produits concernés, Pour une déclaration technique complète sur les produits concernés et les solutions de contournement, veuillez consulter notre article de la base de connaissances.
01 oct. 2017
Enquêtes sur l'impact du botnet Mirai
À l'heure actuelle, nous avons examiné la situation et nous n'avons connaissance d'aucun de nos appareils pouvant être compromis par ce botnet. Nous continuons à surveiller cela au cas où cela changerait à l'avenir.
03 mars 2017
Des exploits pratiques pour le hachage SHA1 ont maintenant été découverts
Bien que nous ayons fait migrer l'utilisation de SHA1 dans nos produits au cours des dernières années, nous réévaluons actuellement nos produits pour savoir s'ils utilisent encore le hachage SHA1. Nous prévoyons que les prochaines versions supprimeront l'utilisation du hachage SHA1 et passeront respectivement aux routines SHA3 ou SHA2, plus puissantes. En savoir plus
10 novembre 2016
OpenSSL - Nouvelle version de sécurité 1.1.0c
Nous sommes toujours en train d'examiner l'impact de cette situation sur nos appareils. Nous pensons que cela n'aura pas d'impact pour Digi, car nous utilisons la version OpenSSL long term support (LTS) d'OpenSSL v1.0.2 dans nos produits, et non v1.1.0.
21 oct. 2016
Dirty COW - (CVE-2016-5195)
Nous sommes en train de tester entièrement nos produits contre cette vulnérabilité. Actuellement, nous avons trouvé quelques appareils qui sont légèrement touchés. Cependant, en raison du type de produit, il n'y a aucun moyen d'exploiter efficacement les appareils avec cette vulnérabilité.


Notifications

11 août 2022 En ce qui concerne la loi SB-327 de Californie et l'avis CISA 22-216-01 concernant les appareils Digi Connect Port X fabriqués avant le 1-1-2020
Digi International recommande aux utilisateurs des dispositifs Connect Port X fabriqués avant le 1-1-2020 de changer le mot de passe par défaut de l'utilisateur root par une valeur personnalisée sur le dispositif.
24 juin 2022 Les hachages de validation du logiciel font maintenant partie des notes de mise à jour.
Visitez le site de support Digi et trouvez votre produit.
30 Sep 2020 Digi International a publié les hachages de validation du logiciel
Ce document fournira des hashs cryptographiques de fichiers pour valider que le logiciel reçu est le logiciel que Digi a officiellement fourni. Ces méthodes de validation humaine sont requises pour CIP-010-3 R1 Partie 1.6 et pour d'autres bonnes pratiques de sécurité avant de déployer un logiciel ou un micrologiciel critique pour l'entreprise.
Télécharger
19 juillet 2019 Suivi de l'article de la base de connaissances sur la vulnérabilité SACK
Pour obtenir une liste plus détaillée des appareils Digi impactés par la vulnérabilité SACK, consultez l'article de la base de connaissances suivant, https://www.digi.com/support/knowledge-base/sack_vulnerability. En savoir plus
03 mai 2017 Évaluation de la vulnérabilité de sécurité VU#561444
Plus d'informations sur CVE-2014-9222, CVE-2014-9223
De nombreux produits Digi contiennent et utilisent la technologie de serveur web RomPager by Allegrosoft. Il a été porté à notre attention que ce serveur web embarqué, qui est utilisé pour la gestion de nos appareils, contient ce que nous avons défini comme une vulnérabilité critique. Nous demandons instamment à tout client qui possède l'un de ces produits où le serveur web d'administration est disponible sur des réseaux non sécurisés de mettre à jour le firmware vers une version corrigée ou de désactiver le serveur web pour la gestion de ces appareils. En savoir plus