Centro de Seguridad Digi

Gestión de autenticación incorrecta para Digi PortServer TS; Digi One SP, SP IA, IA; Digi One IAP

Digi International ha identificado una vulnerabilidad de seguridad que afecta a todas las versiones de estos productos con firmware anterior a 2025:

• Servidor de puertos TS
• Digi One SP/Digi One SP IA/Digi One IA
• Digi One IAP

Estamos comprometidos con la seguridad e integridad de nuestros productos y la seguridad de nuestros clientes. Tras descubrir este problema, nuestro equipo de ingenieros inició una investigación completa y ha desarrollado una solución para solucionar la vulnerabilidad.

Se ha publicado una corrección de seguridad para ConnectPort LTS

Se ha publicado un conjunto de correcciones de seguridad para mejorar la forma en que se gestionan las solicitudes en la interfaz web para Digi ConnectPort LTS y está listo para su descarga en el siguiente enlace:"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware".

Los clientes que no puedan actualizar el firmware deben desactivar la página web de la unidad ConnectPort LTS hasta que puedan programar una actualización.

Los comandos para deshabilitar y volver a habilitar el servicio web desde la línea de comandos son los siguientes:

#> set service ra=10,11 state=off

para volver a activar el servicio web:

#> set service ra=10,11 state=on

Se ha publicado una corrección de seguridad para WR11, WR21, WR31, WR44R, WR44RR.

Se ha publicado una corrección de seguridad para WR11, WR21, WR31, WR44R, WR44RR Versión 8.6.0.4 para parchear la entidad SSH para inicializar una variable no inicializada, evitando que se inicie la finalización de una sesión SSH no autenticada después de que se haya establecido la primera sesión SSH. Por favor, descargue el firmware más reciente de nuestro sitio de soporte o a través de Digi Remote Manager

Ataque Terrapin - Vulnerabilidad SSH

Estimados clientes, queremos informarles acerca de un recientemente descubierto Vulnerabilidades y Exposiciones Comunes (CVE) que afecta a algunos de nuestros dispositivos. Para más información y acciones recomendadas, por favor visite el siguiente enlace. Apreciamos su atención a este asunto y le agradecemos su continua confianza en nuestros servicios.

CVE de RealPort

El documento adjunto incluye los hallazgos de vulnerabilidad de un informe que Dragos presentó. Se trata de CVE que Dragos nos comunicó a nosotros, Digi International. Se incluye una tabla de los productos de Digi International que fueron reportados como vulnerables por Dragos.

Divulgación pública de Ripple20

Digi International ha tenido conocimiento recientemente de que CVE-2020-11901 sigue afectando a nuestras líneas de productos NDS y NET+OS, que formaban parte de las vulnerabilidades Ripple20. Digi ha considerado oportuno parchear la vulnerabilidad. Consulte nuestro artículo basado en conocimientos para conocer las versiones de los parches relacionados con esta vulnerabilidad.

Nuestro equipo de desarrollo ya ha desarrollado un parche para esta vulnerabilidad y le recomendamos encarecidamente que aplique la actualización lo antes posible para garantizar la seguridad de su dispositivo.

Nos tomamos muy en serio la seguridad de nuestros productos y le pedimos disculpas por cualquier inconveniente que esto pueda causarle. Si tiene alguna pregunta o duda, no dude en ponerse en contacto con nuestro equipo de asistencia.

Siguiendo con el anuncio anterior de Digi de WiFi Frag Attack.

Aquí está el enlace a nuestro artículo basado en el conocimiento que entra en detalle en WiFi Frag Attack
Frag Attack Información de seguridad

Actualización de seguridad para los CVE críticos de OpenSSL: CVE-2022-3786 y CVE-2022-3602

Digi International está investigando las nuevas vulnerabilidades críticas de OpenSSL vulnerabilidades, CVE-2022-3786, y CVE-2022-3602.

Actualmente, los dispositivos EX50 y TX64 son vulnerables a CVE-2022-3786 y CVE-2022-3602. Los demás productos Digi Accelerated Linux (DAL) no están afectados. El firmware del EX50 y TX64 se actualizará para mitigar estas vulnerabilidades en la próxima versión de parches.

La versión 4.0-r1 de Digi Embedded Yocto es actualmente vulnerable a CVE-2022-3786 y CVE-2022-3602 y se actualizará para mitigar esas vulnerabilidades en la próxima versión del parche. Las demás versiones de DEY no están afectadas.

También se están revisando otras bibliotecas de OpenSSL. Las bibliotecas que no estén actualizadas también recibirán parches.

Cualquier otra pregunta...... la abordaremos para aliviar aún más esas preocupaciones

En relación con California SB-327 y CISA advisory 22-216-01 con respecto a los dispositivos Digi Connect Port X fabricados antes del 1-1-2020

Digi International recomienda que al utilizar los dispositivos Connect Port X fabricados antes del 1-1-2020 se cambie la contraseña predeterminada para el usuario root por un valor personalizado en el dispositivo.

El proceso de presentación de vulnerabilidades de seguridad de Digi ha cambiado

Puede enviar vulnerabilidades en la esquina superior derecha rellenando el formulario de Bugcrowd. Animamos a los investigadores o clientes a proporcionar un correo electrónico para comunicarnos mejor con usted. Por favor, vuelva a enviar cualquier vulnerabilidad que en los últimos 90 días haya sido enviada a security@digi.com y no le hayamos respondido. Agradecemos su continuo servicio para que los productos de Digi International Inc. permanezcan seguros.

Los hashes de validación del software ahora forman parte de las notas de la versión

Visite el sitio de asistencia de Digi y busque su producto

CVE-2022-22963 y CVE-2022-22965 no afectan a los productos de la marca Digi

Después de la debida diligencia, los productos de la marca Digi no son vulnerables a CVE-2022-22963 ni a CVE-2022-22965 (Spring4Shell).

Actualización del firmware del Digi Passport

Se ha publicado una corrección de seguridad para mejorar el tratamiento de las solicitudes en la interfaz web, que puede descargarse en el siguiente enlace: https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/.

Vulnerabilidad de Spring4Shell (CVE-2022-22963)

Digi está investigando actualmente el impacto en todas nuestras líneas de productos. Las actualizaciones se publicarán aquí.

Bucle infinito de OpenSSL en BN_mod_sqrt() (CVE-2022-0778)

Digi está investigando actualmente el impacto en todas nuestras líneas de productos. Las actualizaciones se publicarán aquí.

Hemos identificado que los siguientes cuatro de nuestros productos tienen versiones vulnerables relacionadas con las vulnerabilidades de log4j CVE-2021-44228, y CVE-2021-45046

Tenga en cuenta que estos productos no son vulnerables a la última vulnerabilidad de log4j citada en CVE-2021-45105, y los últimos instaladores que aparecen a continuación actualizan log4j a la versión 2.16. Hemos proporcionado los enlaces directos que parchean la CVE mencionada junto a cada producto a continuación.

Smart IOmux: Smart IOmux

Digi XCTU: XCTU

Digi XBee Multi Programador: Multiprogramador XBee

Digi XBee Asistente de redDigi XBee : Asistente de red

Creemos que estas vulnerabilidades no impusieron una explotación directa en nuestros productos porque son aplicaciones de escritorio ejecutadas por usuarios individuales, y no son accesibles a través de Internet ni se utilizan a través de servicios web. Los cuatro productos anteriores son todos los productos afectados que conocemos en este momento. En caso de que descubramos más problemas, actualizaremos esta página. Para más información relacionada con los productos no afectados, por favor, revise el post de abajo con fecha 14 de diciembre de 2021.

Tras una investigación detallada, Digi ha determinado que Apache Log4j CVE-2021-44228 no afecta a muchos de nuestros productos/familias de productos. Los productos no afectados se enumeran a continuación.

Si no encuentra un producto, tenga en cuenta que seguimos realizando pruebas internas y actualizaremos la lista que figura a continuación en cuanto se conozcan los resultados.

Dispositivos no afectados por Apache Log4j CVE-2021:

• Familia CTEK G6200
• CTEK SkyCloud
• Familia CTEK Z45
• Familia Digi 54xx
• Familia Digi 63xx
• Familia Digi AnywhereUSB (G2)
• Familia Digi AnywhereUSB Plus
• Familia Digi Connect
• Familia Digi Connect EZ
• Familia Digi Connect IT
• Familia Digi ConnectPort
• Familia Digi ConnectPort LTS
• Familia de sensores Digi Connect
• Familia Digi Connect WS
• Digi Embedded Android
• Digi Embedded Yocto
• Enrutadores Digi EX
• Enrutadores Digi IX
• Digi LR54
• Familia Digi One
• Familia Digi Passport
• Familia Digi PortServer TS
• Familia Digi Rabbit Embedded
• Enrutadores Digi TX
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

Plataformas de software/gestión:

• AnywhereUSB Manager
• Aview
• ARMT
• AVWOB
• Navegador Digi
• Digi Remote Manager
• Digi Xbee aplicación móvil
• Dinámica C
• Faro
• Realport
• Utilidad de configuración del concentrador remoto

Vulnerabilidad de Apache Log4j CVE-2021-44228

Digi está investigando actualmente el impacto en toda nuestra línea de productos. Actualmente no hemos descubierto ningún impacto en este momento. Seguiremos trabajando con diligencia, y actualizaremos la información tan pronto como lleguemos a una conclusión en toda la organización.

FragAttacks - Ataques de Fragmentación y Agregación WiFi

En este momento, Digi todavía está revisando estos ataques y cómo afectan a nuestros dispositivos. Por la naturaleza de los ataques, esperamos que los dispositivos de Digi se vean afectados.

Sin embargo, es fundamental tener en cuenta que, incluso con estos ataques, la política y las sugerencias de DIgi siempre han sido que la comunicación en red nunca debe depender de las protecciones y los estándares de las capas de datos (WiFi/BlueTooth). Muchos de ellos están implementados en HW y pueden ser difíciles de cambiar. Si se utilizan buenas prácticas de red, (TLS/Certificados, etc.), estas vulnerabilidades no tienen ningún impacto real. Estas vulnerabilidades sólo pueden tener impacto SI hay otros defectos o problemas presentes.

La intención de Digi es abordar estas cuestiones para preservar nuestra estrategia de defensa en profundidad de la seguridad en nuestros productos. Debido a la complejidad de estos problemas, creemos que podremos resolverlos para el cuarto trimestre de 2021 o antes si es posible.

AMNESIA:33 - VU#815128 - Múltiples pilas TCP/IP utilizadas en el Internet de las Cosas (IoT tienen varias vulnerabilidades derivadas de una gestión inadecuada de la memoria.

Digi International nunca ha fabricado ningún producto que pudiera verse afectado por las vulnerabilidades de AMNESIA:33. No se requiere ninguna acción por parte de ninguno de nuestros clientes.

Digi International publica hashes de validación de software

Este documento proporcionará hashes criptográficos de archivos para validar que el software recibido es el software que Digi ha proporcionado oficialmente. Estos métodos de validación humana son necesarios para CIP-010-3 R1 Parte 1.6 y para otras buenas prácticas de seguridad antes de desplegar software o firmware crítico para la empresa.
Descargar

RIPPLE20 - Múltiples vulnerabilidades en el software embebido TRECK TCP/IP - VU#257161

Se han identificado varias vulnerabilidades de alto nivel (CVE) que afectan al procesamiento interno de la pila TCP/IP. Digi ha estado trabajando con los clientes desde febrero para instalar actualizaciones de firmware que solucionen el problema. En circunstancias específicas, es posible que estas vulnerabilidades puedan conducir a la ejecución remota de código a través de un ataque basado en red sin autenticación.

Puntuación CVSSv3.1 de 8,1: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Varios productos Digi han sido identificados como afectados, y le recomendamos encarecidamente que actualice su firmware inmediatamente.

Estos productos incluyen:

• Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP y Digi Connect® ES; Digi Connect® 9C, Digi Connect® 9P;
• Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4;
• Digi AnywhereUSB® (primera y segunda generación, no Plus);
• NetSilicon 7250, 9210, 9215, 9360, 9750;
• Cualquier producto que utilice los entornos de desarrollo de NET+OS 7.X.

Para obtener más información, lea el artículo de la base de conocimientos de Digi.

Ataque por reflexión a los routers de las series WR11,WR21,WR31,WR41,WR44 - VU#636397 - CVE-2020-10136

Se ha descubierto una vulnerabilidad de alto nivel (CVSS => 7.0) en los routers celulares Digi WR11,WR21,WR31,WR41 y WR44. El ataque permite utilizar la encapsulación IP-in-IP para enrutar tráfico de red arbitrario a través de un dispositivo vulnerable.

Descargue el firmware V8.1.0.1 (o superior) para solucionar este problema. Como alternativa, la activación de la función de cortafuegos en el puerto de la interfaz WAN (o la interfaz celular) de los dispositivos también mitigará este ataque.

Para obtener más información sobre esta vulnerabilidad, consulte el artículo de la base de conocimientos en la sección de soporte de Digi

Aleatorización de los valores efímeros de Secure Session SRP

Se ha descubierto una vulnerabilidad en los firmwares Digi XBee 3 Zigbee y Digi XBee 3 802.15.4 en la que los valores efímeros utilizados para la autenticación SRP de sesión segura no son aleatorios a menos que BLE esté activado. Esta característica se utiliza normalmente para asegurar las redes contra la configuración remota no autorizada.

Para más información, visite: https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Las claves de transporte de Zigbee se envían "en claro

Se ha descubierto una vulnerabilidad en los módulos XBee ZigBee de generaciones anteriores (S2B, S2C y S2D) en la que un router que estaba previamente asociado a la red puede volver a entrar en la red segura utilizando una clave de enlace preconfigurada no válida. Después, este nodo podría pasar inadvertidamente la clave de red "en claro" a los dispositivos que intenten unirse a través de él.

Para más información, visite: https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Vulnerabilidades de Digi ConnectPort LTS: 1 carga sin restricciones y 3 vulnerabilidades de secuencias de comandos en sitios cruzados almacenadas - Aviso de ICS (ICSA-20-042-13)

Los investigadores de vulnerabilidad Murat Aydemir y Fatih Kayran descubrieron las vulnerabilidades mencionadas en la interfaz web de ConnectPort LTS del firmware de Digi ConnectPort LTS. La solución sugerida para estos problemas incluye una actualización del firmware a la última versión de su producto. Para ver la guía completa del US-CERT, consulte: https://www.us-cert.gov/ics/advisories/icsa-20-042-13

Para las actualizaciones del firmware, vaya a: https://www.digi.com/support/supporttype?type=firmware

Artículo de seguimiento de la base de conocimientos sobre la vulnerabilidad de SACK

Para obtener una lista más detallada de los dispositivos Digi afectados por la vulnerabilidad SACK, consulte el siguiente artículo de KB, https://www.digi.com/support/knowledge-base/sack_vulnerability.

Vulnerabilidad "SACK" - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 y CVE-2019-11479)

Digi Intl. es consciente de cuatro vulnerabilidades recientes conocidas como "SACK". Actualmente estamos revisando el impacto y coordinando las correcciones dentro de nuestros productos afectados conocidos en este momento. La semana que viene habrá más información sobre el calendario de correcciones. Es fundamental tener en cuenta que estas vulnerabilidades NO afectan a la confidencialidad e integridad de los dispositivos Digi. Todas estas vulnerabilidades están clasificadas como problemas de "denegación de servicio". Esto significa que puede ser posible expulsar un dispositivo de la red o reiniciar el dispositivo.

Digi LR54/WR64/WR54 CVE-2018-20162 Vulnerabilidad de seguridad importante: escape de shell restringido

Stig Palmquist descubrió una vulnerabilidad en los routers mencionados anteriormente. Esta vulnerabilidad permite a una persona con acceso de línea de comandos de administrador completo, la capacidad de obtener un shell de raíz en el dispositivo. Esta vulnerabilidad no es explotable de forma remota. Sugerimos a los clientes que actualicen a versiones iguales o superiores a la 4.5.1. También se señala que, incluso con esta vulnerabilidad, muchas partes críticas del router son de sólo lectura, y el código instalado está protegido por un proceso de arranque seguro. Se publicarán más detalles en la base de conocimientos de Digi sobre este problema.

Vulnerabilidad crítica de libSSH : CVE-2018-10933

Digi es consciente de una vulnerabilidad crítica en las bibliotecas libssh. Hemos realizado un análisis de impacto para identificar si algún producto de Digi está afectado. En este momento creemos que NINGÚN producto de Digi está afectado por esta vulnerabilidad, ya que no utilizamos esta biblioteca para las funciones de nuestros productos. Seguiremos vigilando esta situación y publicaremos más información si el estado cambia.

Vulnerabilidades Spectre y Meltdown - (CVE-2017-5715, CVE-2017-5753 y CVE-2017-5754)

Digi es consciente de las vulnerabilidades Spectre y Meltdown que se publicaron recientemente. Estas vulnerabilidades afectan a la confidencialidad de los datos que se ejecutan en los procesadores Intel, AMD y ARM.

En el caso de los productos de hardware de Digi, no utilizamos procesadores de Intel o AMD y, en consecuencia, la vulnerabilidad "Meltdown" no afecta a los productos de hardware de Digi.

En cuanto a la vulnerabilidad Spectre, los equipos de seguridad de Digi están trabajando para determinar los impactos prácticos y los parches en los productos de hardware de Digi que utilizan procesadores ARM.

En el caso de Digi Remote Manager y Device Cloud, estamos trabajando con nuestros proveedores para abordar Spectre y Meltdown.

Se proporcionará información adicional tan pronto como esté disponible. Para más información sobre estas vulnerabilidades, consulte el sitio web https://meltdownattack.com/

Siga consultando este espacio para conocer las novedades, o suscríbase al canal RSS de arriba.

Vulnerabilidades descubiertas en los routers celulares de la serie TransPort WR

Kasperski Labs ha encontrado tres vulnerabilidades en los routers de transporte de la serie WR. Estas vulnerabilidades están clasificadas de alta a baja. Los dispositivos afectados son los Digi TransPort WR11, WR21, WR41, WR44 y el WR31. Esto incluye también las versiones "R" y "RR". Los servicios vulnerables afectados son SNMP, FTP y la interfaz de línea de comandos. Para obtener más información sobre las vulnerabilidades descubiertas, incluidos los parches, las mitigaciones y el riesgo general, consulte el artículo de la base de conocimientos.

Vulnerabilidad de Blueborne

Digi es consciente de la vulnerabilidad BlueBorne relacionada con la penetración de conexiones Bluetooth que resulta en un acceso potencialmente no autorizado a dispositivos y/o datos. BlueBorne afecta a ordenadores normales, teléfonos móviles, dispositivos integrados y otros dispositivos conectados con conectividad Bluetooth. Consulte https://www.armis.com/blueborne/ para obtener información detallada sobre la vulnerabilidad. Para los productos integrados, recomendamos encarecidamente a los clientes que revisen la información pública disponible sobre la vulnerabilidad Blueborne y apliquen métodos de mitigación, incluidas las correcciones ya disponibles en la comunidad. También tenemos la intención de proporcionar soluciones para las vulnerabilidades relacionadas tan pronto como sea posible. Mientras tanto, por favor póngase en contacto con nosotros si tiene alguna pregunta relacionada con cómo esta vulnerabilidad puede afectar a los productos Digi / plataformas que está utilizando.

Servicio de red DNSmasq (CVE-2017-14491)

Hemos evaluado el impacto de esta vulnerabilidad en nuestros dispositivos y hemos concluido que el Transport LR54 es el único dispositivo Digi afectado. Hemos puesto a disposición un parche para esta vulnerabilidad en las versiones de firmware 3.1.0.4 y superiores. Por favor, consulte el sitio de soporte de Digi para las versiones de firmware para el producto LR54.

Ataque KRACK

Digi es consciente de la existencia de una vulnerabilidad en el protocolo de seguridad Wi-Fi WPA2. Hemos lanzado un nuevo firmware para los productos afectados. Para obtener una declaración técnica completa sobre los productos afectados y las soluciones, consulte nuestro artículo de la base de conocimientos.

Investigaciones sobre el impacto de la red de bots Mirai

En este momento, hemos revisado esto, y no tenemos conocimiento de ninguno de nuestros dispositivos que pueda ser comprometido por este Botnet. Seguimos vigilando esto en caso de que esto cambie en el futuro.

Evaluación de la vulnerabilidad de seguridad VU#561444

Información ampliada sobre CVE-2014-9222, CVE-2014-9223
Muchos productos Digi contienen y utilizan la tecnología de servidor web RomPager by Allegrosoft. Ha llegado a nuestro conocimiento que este servidor web integrado, que se utiliza para la gestión de nuestros dispositivos contiene lo que hemos definido como una vulnerabilidad crítica. Instamos a cualquier cliente que pueda tener uno de estos productos en los que el servidor web administrativo esté disponible en redes no seguras a actualizar el firmware a una versión parcheada o a desactivar el servidor web para la gestión de estos dispositivos.

Se ha descubierto un exploit práctico para el hashing SHA1

Aunque hemos estado migrando el uso de SHA1 en nuestros productos durante los últimos años, estamos reevaluando nuestros productos para cualquier uso restante de hash SHA1. Anticipamos que las futuras versiones eliminarán el uso del hash SHA1, y se moverán a las rutinas más fuertes SHA3, o SHA2 respectivamente.

OpenSSL - Nueva versión de seguridad 1.1.0c

Todavía estamos revisando el impacto de esto en nuestros dispositivos. Creemos que esto no tendrá ningún impacto para Digi, ya que utilizamos la versión de soporte a largo plazo (LTS) de Openssl v1.0.2 en nuestros productos, y no v1.1.0.

Dirty COW - (CVE-2016-5195)

Estamos en el proceso de probar completamente nuestros productos contra esta vulnerabilidad. Actualmente, hemos encontrado algunos dispositivos que están ligeramente afectados. Sin embargo, debido al tipo de producto, no hay manera de explotar efectivamente los dispositivos con esta vulnerabilidad.