Centro de Seguridad Digi

Bienvenido al Centro de Seguridad de Digi, donde nos esforzaremos por hacer de éste su único lugar para todas las noticias de seguridad, información y recursos relacionados con nuestros productos y servicios.


 

Alertas

31 de octubre de 2024
Se ha publicado una corrección de seguridad para ConnectPort LTS

Se ha publicado un conjunto de correcciones de seguridad para mejorar la forma en que se gestionan las solicitudes en la interfaz web para Digi ConnectPort LTS y está listo para su descarga en el siguiente enlace:"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware".

Los clientes que no puedan actualizar el firmware deben desactivar la página web de la unidad ConnectPort LTS hasta que puedan programar una actualización.

Los comandos para deshabilitar y volver a habilitar el servicio web desde la línea de comandos son los siguientes:

#> set service ra=10,11 state=off

para volver a activar el servicio web:

#> set service ra=10,11 state=on

08 de julio de 2024
Se ha publicado una corrección de seguridad para WR11, WR21, WR31, WR44R, WR44RR.

Se ha publicado una corrección de seguridad para WR11, WR21, WR31, WR44R, WR44RR Versión 8.6.0.4 para parchear la entidad SSH para inicializar una variable no inicializada, evitando que se inicie la finalización de una sesión SSH no autenticada después de que se haya establecido la primera sesión SSH. Por favor, descargue el firmware más reciente de nuestro sitio de soporte o a través de Digi Remote Manager

07 de marzo de 2024
Ataque Terrapin - Vulnerabilidad SSH

Estimados clientes, queremos informarles acerca de un recientemente descubierto Vulnerabilidades y Exposiciones Comunes (CVE) que afecta a algunos de nuestros dispositivos. Para más información y acciones recomendadas, por favor visite el siguiente enlace. Apreciamos su atención a este asunto y le agradecemos su continua confianza en nuestros servicios.

Más información
25 de agosto de 2023
CVE de RealPort

El documento adjunto incluye los hallazgos de vulnerabilidad de un informe que Dragos presentó. Se trata de CVE que Dragos nos comunicó a nosotros, Digi International. Se incluye una tabla de los productos de Digi International que fueron reportados como vulnerables por Dragos.

Más información
20 de julio de 2023
Divulgación pública de Ripple20

Digi International ha tenido conocimiento recientemente de que CVE-2020-11901 sigue afectando a nuestras líneas de productos NDS y NET+OS, que formaban parte de las vulnerabilidades Ripple20. Digi ha considerado oportuno parchear la vulnerabilidad. Consulte nuestro artículo basado en conocimientos para conocer las versiones de los parches relacionados con esta vulnerabilidad.

Nuestro equipo de desarrollo ya ha desarrollado un parche para esta vulnerabilidad y le recomendamos encarecidamente que aplique la actualización lo antes posible para garantizar la seguridad de su dispositivo.

Nos tomamos muy en serio la seguridad de nuestros productos y le pedimos disculpas por cualquier inconveniente que esto pueda causarle. Si tiene alguna pregunta o duda, no dude en ponerse en contacto con nuestro equipo de asistencia.

Más información
05 dic 2022
Siguiendo con el anuncio anterior de Digi de WiFi Frag Attack.

Aquí está el enlace a nuestro artículo basado en el conocimiento que entra en detalle en WiFi Frag Attack
Frag Attack Información de seguridad

Nov 09, 2022
Actualización de seguridad para los CVE críticos de OpenSSL: CVE-2022-3786 y CVE-2022-3602

Digi International está investigando las nuevas vulnerabilidades críticas de OpenSSL vulnerabilidades, CVE-2022-3786, y CVE-2022-3602.

Actualmente, los dispositivos EX50 y TX64 son vulnerables a CVE-2022-3786 y CVE-2022-3602. Los demás productos Digi Accelerated Linux (DAL) no están afectados. El firmware del EX50 y TX64 se actualizará para mitigar estas vulnerabilidades en la próxima versión de parches.

La versión 4.0-r1 de Digi Embedded Yocto es actualmente vulnerable a CVE-2022-3786 y CVE-2022-3602 y se actualizará para mitigar esas vulnerabilidades en la próxima versión del parche. Las demás versiones de DEY no están afectadas.

También se están revisando otras bibliotecas de OpenSSL. Las bibliotecas que no estén actualizadas también recibirán parches.

Cualquier otra pregunta...... la abordaremos para aliviar aún más esas preocupaciones

08 de julio de 2022
El proceso de presentación de vulnerabilidades de seguridad de Digi ha cambiado
Puedes enviar vulnerabilidades en la esquina superior derecha rellenando el formulario de Bugcrowd. Animamos a los investigadores o a los clientes a que proporcionen un correo electrónico para comunicarse mejor directamente con usted. Por favor, vuelva a enviar cualquier vulnerabilidad que en los últimos 90 días haya sido enviada a security@digi.com y no le hemos respondido. Apreciamos su servicio continuo para que los productos de Digi International Inc. permanezcan seguros.
19 de abril de 2022
CVE-2022-22963 y CVE-2022-22965 no afectan a los productos de la marca Digi
Después de la debida diligencia, los productos de la marca Digi no son vulnerables a CVE-2022-22963 ni a CVE-2022-22965 (Spring4Shell).
08 de abril de 2022
Actualización del firmware del Digi Passport
Se ha publicado una corrección de seguridad para mejorar el tratamiento de las solicitudes en la interfaz web y está lista para su descarga en el siguiente enlace: https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/
31 de marzo de 2022
Vulnerabilidad de Spring4Shell (CVE-2022-22963)
Digi está investigando actualmente el impacto en todas nuestras líneas de productos. Las actualizaciones se publicarán aquí.
29 de marzo de 2022
Bucle infinito de OpenSSL en BN_mod_sqrt() (CVE-2022-0778)
Digi está investigando actualmente el impacto en todas nuestras líneas de productos. Las actualizaciones se publicarán aquí.
23 de diciembre de 2021
Hemos identificado que los siguientes cuatro de nuestros productos tienen versiones vulnerables relacionadas con las vulnerabilidades de log4j CVE-2021-44228, y CVE-2021-45046

Tenga en cuenta que estos productos no son vulnerables a la última vulnerabilidad de log4j citada en CVE-2021-45105, y los últimos instaladores que aparecen a continuación actualizan log4j a la versión 2.16. Hemos proporcionado los enlaces directos que parchean la CVE mencionada junto a cada producto a continuación.

Smart IOmux: Smart IOmux

Digi XCTU: XCTU

Digi XBee Multi Programador: Multiprogramador XBee

Digi XBee Asistente de redDigi XBee : Asistente de red

Creemos que estas vulnerabilidades no impusieron una explotación directa en nuestros productos porque son aplicaciones de escritorio ejecutadas por usuarios individuales, y no son accesibles a través de Internet ni se utilizan a través de servicios web. Los cuatro productos anteriores son todos los productos afectados que conocemos en este momento. En caso de que descubramos más problemas, actualizaremos esta página. Para más información relacionada con los productos no afectados, por favor, revise el post de abajo con fecha 14 de diciembre de 2021.

14 de diciembre de 2021
Tras una investigación detallada, Digi ha determinado que Apache Log4j CVE-2021-44228 no afecta a muchos de nuestros productos/familias de productos. Los productos no afectados se enumeran a continuación.

Si no encuentra un producto, tenga en cuenta que seguimos realizando pruebas internas y actualizaremos la lista que figura a continuación en cuanto se conozcan los resultados.

Dispositivos no afectados por Apache Log4j CVE-2021:

  • Familia CTEK G6200
  • CTEK SkyCloud
  • Familia CTEK Z45
  • Familia Digi 54xx
  • Familia Digi 63xx
  • Familia Digi AnywhereUSB (G2)
  • Familia Digi AnywhereUSB Plus
  • Familia Digi Connect
  • Familia Digi Connect EZ
  • Familia Digi Connect IT
  • Familia Digi ConnectPort
  • Familia Digi ConnectPort LTS
  • Familia de sensores Digi Connect
  • Familia Digi Connect WS
  • Digi Embedded Android
  • Digi Embedded Yocto
  • Enrutadores Digi EX
  • Enrutadores Digi IX
  • Digi LR54
  • Familia Digi One
  • Familia Digi Passport
  • Familia Digi PortServer TS
  • Familia Digi Rabbit Embedded
  • Enrutadores Digi TX
  • Digi WR11
  • Digi WR21
  • Digi WR31
  • Digi WR44R/RR
  • Digi WR54
  • Digi WR64

Plataformas de software/gestión:

  • AnywhereUSB Manager
  • Aview
  • ARMT
  • AVWOB
  • Navegador Digi
  • Digi Remote Manager
  • Digi Xbee aplicación móvil
  • Dinámica C
  • Faro
  • Realport
  • Utilidad de configuración del concentrador remoto
13 de diciembre de 2021
Vulnerabilidad de Apache Log4j CVE-2021-44228
Digi está investigando actualmente el impacto en toda nuestra línea de productos. Actualmente no hemos descubierto ningún impacto en este momento. Seguiremos trabajando con diligencia, y actualizaremos la información tan pronto como lleguemos a una conclusión en toda la organización.
14 de junio de 2021
FragAttacks - Ataques de Fragmentación y Agregación WiFi

En este momento, Digi todavía está revisando estos ataques y cómo afectan a nuestros dispositivos. Por la naturaleza de los ataques, esperamos que los dispositivos de Digi se vean afectados.

Sin embargo, es fundamental tener en cuenta que, incluso con estos ataques, la política y las sugerencias de DIgi siempre han sido que la comunicación en red nunca debe depender de las protecciones y los estándares de las capas de datos (WiFi/BlueTooth). Muchos de ellos están implementados en HW y pueden ser difíciles de cambiar. Si se utilizan buenas prácticas de red, (TLS/Certificados, etc.), estas vulnerabilidades no tienen ningún impacto real. Estas vulnerabilidades sólo pueden tener impacto SI hay otros defectos o problemas presentes.

La intención de Digi es abordar estas cuestiones para preservar nuestra estrategia de defensa en profundidad de la seguridad en nuestros productos. Debido a la complejidad de estos problemas, creemos que podremos resolverlos para el cuarto trimestre de 2021 o antes si es posible.

09 de diciembre de 2020
AMNESIA:33 - VU#815128 - Múltiples pilas TCP/IP utilizadas en el Internet de las Cosas (IoT tienen varias vulnerabilidades derivadas de una gestión inadecuada de la memoria.
Digi International nunca ha fabricado ningún producto que pudiera verse afectado por las vulnerabilidades de AMNESIA:33. No se requiere ninguna acción por parte de ninguno de nuestros clientes.
16 de junio de 2020
RIPPLE20 - Múltiples vulnerabilidades en el software embebido TRECK TCP/IP - VU#257161
Se han identificado una serie de vulnerabilidades de alto nivel (CVE) que afectan al procesamiento de la pila interna TCP/IP. Digi ha estado trabajando con los clientes desde febrero para instalar actualizaciones de firmware que solucionen el problema. En circunstancias específicas, puede ser posible que estas vulnerabilidades conduzcan a una ejecución remota de código a través de un ataque basado en la red sin autenticación.

Puntuación CVSSv3.1 de 8.1: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Varios productos de Digi han sido identificados como afectados, y recomendamos encarecidamente que actualicen su firmware inmediatamente.

Estos productos incluyen:
  • Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP y Digi Connect® ES; Digi Connect® 9C, Digi Connect® 9P;
  • Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4;
  • Digi AnywhereUSB® (primera y segunda generación, no Plus);
  • NetSilicon 7250, 9210, 9215, 9360, 9750;
  • Cualquier producto que utilice los entornos de desarrollo de NET+OS 7.X.
Para más información, lea el Artículo de la base de conocimientos de Digi.
02 de junio de 2020
Ataque por reflexión a los routers de las series WR11,WR21,WR31,WR41,WR44 - VU#636397 - CVE-2020-10136

Se ha descubierto una vulnerabilidad de alto nivel (CVSS => 7.0) en los routers celulares Digi WR11,WR21,WR31,WR41 y WR44. El ataque permite utilizar la encapsulación IP-in-IP para enrutar tráfico de red arbitrario a través de un dispositivo vulnerable.

Descargue el firmware V8.1.0.1 (o superior) para solucionar este problema. Como alternativa, la activación de la función de cortafuegos en el puerto de la interfaz WAN (o la interfaz celular) de los dispositivos también mitigará este ataque.

Para obtener más información sobre esta vulnerabilidad, consulte el artículo de la base de conocimientos en la sección de soporte de Digi

Más información
16 de marzo de 2020
Aleatorización de los valores efímeros de Secure Session SRP

Se ha descubierto una vulnerabilidad en los firmwares Digi XBee 3 Zigbee y Digi XBee 3 802.15.4 en la que los valores efímeros utilizados para la autenticación SRP de sesión segura no son aleatorios a menos que BLE esté activado. Esta característica se utiliza normalmente para asegurar las redes contra la configuración remota no autorizada.

Para más información, visite: https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

05 de marzo de 2020
Las claves de transporte de Zigbee se envían "en claro

Se ha descubierto una vulnerabilidad en los módulos XBee ZigBee de generaciones anteriores (S2B, S2C y S2D) en la que un router que estaba previamente asociado a la red puede volver a entrar en la red segura utilizando una clave de enlace preconfigurada no válida. Después, este nodo podría pasar inadvertidamente la clave de red "en claro" a los dispositivos que intenten unirse a través de él.

Para más información, visite: https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

11 de febrero de 2020
Vulnerabilidades de Digi ConnectPort LTS: 1 carga sin restricciones y 3 vulnerabilidades de secuencias de comandos en sitios cruzados almacenadas - Aviso de ICS (ICSA-20-042-13)

Los investigadores de vulnerabilidad Murat Aydemir y Fatih Kayran descubrieron las vulnerabilidades mencionadas en la interfaz web de ConnectPort LTS del firmware de Digi ConnectPort LTS. La solución sugerida para estos problemas incluye una actualización del firmware a la última versión de su producto. Para ver la guía completa del US-CERT, consulte: https://www.us-cert.gov/ics/advisories/icsa-20-042-13

Para las actualizaciones del firmware, vaya a: https://www.digi.com/support/supporttype?type=firmware

25 de junio de 2019
Vulnerabilidad "SACK" - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 y CVE-2019-11479)
Digi Intl. es consciente de cuatro vulnerabilidades recientes conocidas como "SACK". Actualmente estamos revisando el impacto y coordinando las correcciones dentro de nuestros productos afectados conocidos en este momento. La semana que viene habrá más información sobre el calendario de correcciones. Es fundamental tener en cuenta que estas vulnerabilidades NO afectan a la confidencialidad e integridad de los dispositivos Digi. Todas estas vulnerabilidades están clasificadas como problemas de "denegación de servicio". Esto significa que puede ser posible expulsar un dispositivo de la red o reiniciar el dispositivo. Más información
19 de febrero de 2019
Digi LR54/WR64/WR54 CVE-2018-20162 Vulnerabilidad de seguridad importante: escape de shell restringido
Stig Palmquist descubrió una vulnerabilidad en los routers mencionados anteriormente. Esta vulnerabilidad permite a una persona con acceso de línea de comandos de administrador completo, la capacidad de obtener un shell de raíz en el dispositivo. Esta vulnerabilidad no es explotable de forma remota. Sugerimos a los clientes que actualicen a versiones iguales o superiores a la 4.5.1. También se señala que, incluso con esta vulnerabilidad, muchas partes críticas del router son de sólo lectura, y el código instalado está protegido por un proceso de arranque seguro. Se publicarán más detalles en la base de conocimientos de Digi sobre este problema. Más información
24 de octubre de 2018
Vulnerabilidad crítica de libSSH : CVE-2018-10933
Digi es consciente de una vulnerabilidad crítica en las bibliotecas libssh. Hemos realizado un análisis de impacto para identificar si algún producto de Digi está afectado. En este momento creemos que NINGÚN producto de Digi está afectado por esta vulnerabilidad, ya que no utilizamos esta biblioteca para las funciones de nuestros productos. Seguiremos vigilando esta situación y publicaremos más información si el estado cambia. Más información
05 de enero de 2018
Vulnerabilidades Spectre y Meltdown - (CVE-2017-5715, CVE-2017-5753 y CVE-2017-5754)

Digi es consciente de las vulnerabilidades Spectre y Meltdown que se publicaron recientemente. Estas vulnerabilidades afectan a la confidencialidad de los datos que se ejecutan en los procesadores Intel, AMD y ARM.

En el caso de los productos de hardware de Digi, no utilizamos procesadores de Intel o AMD y, en consecuencia, la vulnerabilidad "Meltdown" no afecta a los productos de hardware de Digi.

En cuanto a la vulnerabilidad Spectre, los equipos de seguridad de Digi están trabajando para determinar los impactos prácticos y los parches en los productos de hardware de Digi que utilizan procesadores ARM.

En el caso de Digi Remote Manager y Device Cloud, estamos trabajando con nuestros proveedores para abordar Spectre y Meltdown.

Se proporcionará información adicional tan pronto como esté disponible. Para más información sobre estas vulnerabilidades, consulte el sitio web https://meltdownattack.com/

Siga consultando este espacio para conocer las novedades, o suscríbase al canal RSS de arriba.

29 de noviembre de 2017
Vulnerabilidades descubiertas en los routers celulares de la serie TransPort WR

Kasperski Labs ha encontrado tres vulnerabilidades en los routers de transporte de la serie WR. Estas vulnerabilidades están clasificadas de alta a baja. Los dispositivos afectados son los Digi TransPort WR11, WR21, WR41, WR44 y el WR31. Esto incluye también las versiones "R" y "RR". Los servicios vulnerables afectados son SNMP, FTP y la interfaz de línea de comandos. Para obtener más información sobre las vulnerabilidades descubiertas, incluidos los parches, las mitigaciones y el riesgo general, consulte el artículo de la base de conocimientos.

Más información
30 de octubre de 2017
Vulnerabilidad de Blueborne
Digi está al tanto de la vulnerabilidad BlueBorne relacionada con la penetración de las conexiones Bluetooth que resulta en un acceso potencialmente no autorizado a los dispositivos y/o datos. BlueBorne afecta a ordenadores ordinarios, teléfonos móviles, dispositivos integrados y otros dispositivos conectados con conectividad Bluetooth. Consulte https://www.armis.com/blueborne/ para obtener información detallada sobre la vulnerabilidad. En el caso de los productos integrados, recomendamos encarecidamente a los clientes que revisen la información pública disponible sobre la vulnerabilidad Blueborne y apliquen los métodos de mitigación, incluidas las correcciones ya disponibles en la comunidad. También tenemos la intención de proporcionar correcciones o soluciones para las vulnerabilidades relacionadas tan pronto como sea posible. Mientras tanto, le rogamos que contacto con nosotros si tiene alguna pregunta relacionada con la forma en que esta vulnerabilidad puede afectar a los productos/plataformas de Digi que está utilizando.
20 de octubre de 2017
Servicio de red DNSmasq (CVE-2017-14491)

Hemos evaluado el impacto de esta vulnerabilidad en nuestros dispositivos y hemos concluido que el Transport LR54 es el único dispositivo Digi afectado. Hemos puesto a disposición un parche para esta vulnerabilidad en las versiones de firmware 3.1.0.4 y superiores. Por favor, consulte el sitio de soporte de Digi para las versiones de firmware para el producto LR54.

16 de octubre de 2017
Ataque KRACK
Digi es consciente de una vulnerabilidad en el protocolo de seguridad Wi-Fi WPA2 definido como ataque KRACK. Esto se ha definido como el ataque KRACK. hemos lanzado un nuevo firmware para los productos afectados, Para una declaración técnica completa sobre los productos afectados y soluciones, consulte nuestro artículo de la base de conocimientos.
01 de octubre de 2017
Investigaciones sobre el impacto de la red de bots Mirai
En este momento, hemos revisado esto, y no tenemos conocimiento de ninguno de nuestros dispositivos que pueda ser comprometido por este Botnet. Seguimos vigilando esto en caso de que esto cambie en el futuro.
03 de marzo de 2017
Se ha descubierto un exploit práctico para el hashing SHA1
Aunque hemos estado migrando el uso de SHA1 en nuestros productos durante los últimos años, estamos reevaluando nuestros productos para cualquier uso restante de hash SHA1. Anticipamos que las futuras versiones eliminarán el uso del hash SHA1, y se moverán a las rutinas más fuertes SHA3, o SHA2 respectivamente. Más información
10 de noviembre de 2016
OpenSSL - Nueva versión de seguridad 1.1.0c
Todavía estamos revisando el impacto de esto en nuestros dispositivos. Creemos que esto no tendrá ningún impacto para Digi, ya que utilizamos la versión de soporte a largo plazo (LTS) de Openssl v1.0.2 en nuestros productos, y no v1.1.0.
21 de octubre de 2016
Dirty COW - (CVE-2016-5195)
Estamos en el proceso de probar completamente nuestros productos contra esta vulnerabilidad. Actualmente, hemos encontrado algunos dispositivos que están ligeramente afectados. Sin embargo, debido al tipo de producto, no hay manera de explotar efectivamente los dispositivos con esta vulnerabilidad.


Notificaciones

11 de agosto de 2022 En relación con la ley SB-327 de California y el aviso 22-216-01 de CISA con respecto a los dispositivos Digi Connect Port X fabricados antes del 1-1-2020
Digi International recomienda que al utilizar los dispositivos Connect Port X fabricados antes del 1-1-2020 se cambie la contraseña predeterminada del usuario raíz por un valor personalizado en el dispositivo.
24 de junio de 2022 Los hashtags de validación del software ahora forman parte de las notas de la versión
Visite el sitio de soporte de Digi y encuentre su producto
30 de septiembre de 2020 Digi International publica los hashes de validación de software
Este documento proporcionará hashes criptográficos de archivos para validar que el software recibido es el software que Digi ha proporcionado oficialmente. Estos métodos de validación humana son necesarios para CIP-010-3 R1 Parte 1.6 y para otras buenas prácticas de seguridad antes de desplegar software o firmware crítico para la empresa.
Descargue
19 de julio de 2019 Artículo de seguimiento de la base de conocimientos sobre la vulnerabilidad SACK
Para obtener una lista más detallada de los dispositivos Digi afectados por la vulnerabilidad SACK, consulte el siguiente artículo de la base de conocimientos, https://www.digi.com/support/knowledge-base/sack_vulnerability Más información
03 de mayo de 2017 Evaluación de la vulnerabilidad de seguridad VU#561444
Información ampliada sobre CVE-2014-9222, CVE-2014-9223
Muchos productos Digi contienen y utilizan la tecnología de servidor web RomPager by Allegrosoft. Hemos tenido conocimiento de que este servidor web integrado, que se utiliza para la gestión de nuestros dispositivos, contiene lo que hemos definido como una vulnerabilidad crítica. Instamos a cualquier cliente que pueda tener uno de estos productos donde el servidor web administrativo esté disponible en redes no seguras a que actualice el firmware a una versión parcheada o desactive el servidor web para la gestión de estos dispositivos. Más información