有问题吗?

数字安全中心

欢迎来到Digi的安全中心,我们将努力使这里成为您了解与我们产品和服务有关的所有安全新闻、信息和资源的一站式地点。


 

警报

6月14日,2021年 FragAttacks - WiFi自由分割和聚合攻击

目前,Digi仍在审查这些攻击以及它们如何影响我们的设备。从这些攻击的性质来看,我们确实预计Digi的设备会受到影响。

然而,关键是要注意,即使有这些攻击,DIgi的政策和建议一直是网络通信不应依赖数据层(WiFi/BlueTooth)的保护和标准。其中许多是在HW中实现的,可能很难改变。如果使用良好的网络实践,(TLS/证书等),那么这些漏洞就不会导致任何真正的影响。只有在存在其他缺陷或问题的情况下,这些漏洞才会产生影响。

Digi打算解决这些问题,以便我们在产品安全方面保持我们的深度防御战略。由于这些问题的复杂性,我们相信我们将能够在2021年第四季度之前解决这些问题,如果可能的话,会更早。

Dec 09, 2020 AMNESIA:33 - VU#815128 - 物联网(IoT)中使用的多个TCP/IP堆栈有几个源于不当内存管理的漏洞。
Digi International从未生产过任何可能受到AMNESIA:33漏洞影响的产品。我们的任何客户都不需要采取行动。
2020年6月16日 RIPPLE20 - TRECK TCP/IP嵌入式软件存在多个漏洞 - VU#257161
一些影响TCP/IP内部堆栈处理的高水平漏洞(CVE)已被发现。自2月份以来,Digi一直在与客户合作,安装固件更新以解决这个问题。在特定情况下,这些漏洞有可能导致通过基于网络的攻击,在没有认证的情况下,实现远程代码执行。

CVSSv3.1评分为8.1。CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

一些Digi产品已被确认为受到影响,我们强烈建议你立即更新你的固件。

这些产品包括。
  • Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP和Digi Connect® ES;Digi Connect® 9C, Digi Connect® 9P。
  • Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4。
  • Digi AnywhereUSB®(第一代和第二代,不是Plus)。
  • NetSilicon 7250, 9210, 9215, 9360, 9750。
  • 任何使用NET+OS 7.X开发环境的产品。
欲了解更多信息,请阅读 Digi知识库文章.
2020年6月2日 反射攻击WR11,WR21,WR31,WR41,WR44系列路由器 - VU#636397 - CVE-2020-10136

在Digi WR11,WR21,WR31,WR41和WR44蜂窝式路由器上发现一个高水平的漏洞(CVSS => 7.0)。该攻击允许使用IP-in-IP封装,通过有漏洞的设备路由任意的网络流量。

请下载固件V8.1.0.1(或更高版本)以修复这个问题。另外,在设备的WAN接口(或蜂窝接口)端口上启用防火墙功能,也可以缓解这种攻击。

有关该漏洞的更多信息,请参见Digi支持部分的知识库文章

了解更多
2020年3月16日 安全会话SRP瞬时值的随机化

在Digi XBee 3 Zigbee和Digi XBee 3 802.15.4固件上发现了一个漏洞,除非启用BLE,否则用于安全会话SRP认证的暂存值不会被随机化。该功能通常用于保护网络,防止未经授权的远程配置。

欲了解更多信息,请访问:https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

2020年3月5日 Zigbee传输密钥 "清晰 "地发送

在早期的XBee ZigBee模块(S2B、S2C和S2D)上发现了一个漏洞,以前与网络相关的路由器可以使用无效的预配置链接密钥重新进入安全网络。此后,这个节点可能无意中将网络密钥 "明确 "地传递给试图通过它加入的设备。

欲了解更多信息,请访问:https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

2020年2月11日 Digi ConnectPort LTS漏洞--1个不受限制的上传,3个存储的跨网站脚本漏洞--ICS咨询(ICSA-20-042-13

漏洞研究人员Murat Aydemir和Fatih Kayran在Digi ConnectPort LTS固件的ConnectPort LTS网页界面中发现了上述漏洞。建议对这些问题的修复包括将固件更新到您产品的最新版本。有关US-CERT的完整指导,请参见:https://www.us-cert.gov/ics/advisories/icsa-20-042-13

关于固件更新,请访问:https://www.digi.com/support/supporttype?type=firmware

2019年6月25日 "SACK "漏洞 - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 and CVE-2019-11479)
Digi Intl.知道最近有四个被称为 "SACK "的漏洞。我们目前正在审查影响,并协调我们已知受影响产品的修复工作。下周将提供更多关于修复时间表的信息。需要注意的是,这些漏洞并不影响任何Digi设备的保密性和完整性。所有这些漏洞都被归类为 "拒绝服务 "问题。这意味着有可能将设备踢出网络或重新启动该设备。 了解更多
2019年2月19日 Digi LR54/WR64/WR54 CVE-2018-20162 重大安全漏洞 - 受限的 Shell 转义
Stig Palmquist在上述命名的路由器中发现了一个漏洞。该漏洞允许具有现有全管理员、命令行访问权的个人在设备上获得root shell的能力。这个漏洞不能被远程利用。我们建议客户升级到等于或大于4.5.1的版本。还要指出的是,即使有这个漏洞,路由器的许多关键部分也是只读的,安装的代码受到安全启动过程的保护。更多细节将公布在Digi关于这个问题的知识库中。 了解更多
2018年10月24日 libSSH关键漏洞:CVE-2018-10933
Digi意识到libssh库中的一个关键漏洞。我们已经进行了一次影响分析,以确定是否有任何Digi产品受到影响。我们认为,目前没有任何Digi产品受到这个漏洞的影响,因为我们的产品中没有使用这个库的功能。我们将继续监测这一情况,如果状态发生变化,我们将发布更多信息。 了解更多
2018年1月5日 Spectre和Meltdown漏洞 - (CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754)

Digi知道最近发布的Spectre和Meltdown漏洞。这些漏洞影响到在英特尔、AMD和ARM处理器上运行的数据的保密性。

对于Digi的硬件产品,我们不使用英特尔或AMD的处理器,因此,"Meltdown "漏洞不会影响Digi的硬件产品。

对于Spectre漏洞,Digi安全团队正在努力确定对使用ARM处理器的Digi硬件产品的实际影响和补丁。

对于Digi Remote Manager & Device Cloud,我们正在与我们的供应商合作,以解决Spectre和Meltdown问题。

一旦有了更多的信息,我们将立即提供。有关这些漏洞的更多信息,请见网站https://meltdownattack.com/

请继续关注本空间的更新,或订阅上面的RSS提要。

2017年11月29日 发现TransPort WR系列蜂窝式路由器的漏洞

卡巴斯基实验室在WR系列传输路由器中发现了三个漏洞。这些漏洞的等级从高到低。受影响的设备是Digi TransPort WR11、WR21、WR41、WR44和WR31。这也包括 "R",和 "RR "版本。受影响的脆弱服务是SNMP、FTP和命令行界面。关于所发现的漏洞的更多信息,包括补丁、缓解措施和整体风险,请参见知识库文章

了解更多
2017年10月30日 Blueborne漏洞
Digi意识到BlueBorne漏洞与蓝牙连接的渗透有关,导致对设备和/或数据的潜在未授权访问。BlueBorne影响到普通计算机、移动电话、嵌入式设备和其他具有蓝牙连接的设备。有关该漏洞的详细信息,请参考https://www.armis.com/blueborne/。对于嵌入式产品,我们强烈建议客户查看有关Blueborne漏洞的现有公开信息,并应用缓解方法,包括社区中已有的修复方法。我们也打算尽快为相关漏洞提供修复/解决方法。同时,如果您对该漏洞如何影响您所使用的Digi产品/平台有任何疑问,请联系我们
2017年10月20日 DNSmasq网络服务(CVE-2017-14491)
我们已经评估了这个漏洞对我们设备的影响,并得出结论,Transport LR54是唯一受影响的Digi设备。我们已经为3.1.0.4及以上版本的固件提供了该漏洞的补丁。有关LR54产品的固件版本,请参见Digi支持网站
2017年10月16日 KRACK攻击
Digi意识到,在定义的Wi-Fi安全协议WPA2中存在一个漏洞。这被定义为KRACK攻击。我们已经为受影响的产品发布了新的固件,关于受影响产品的完整技术声明和解决方法,请参见我们的知识库文章
十月 01, 2017 Mirai僵尸网络的影响调查
目前,我们已经审查了这一点,我们不知道我们的任何设备可以被这个僵尸网络所破坏。我们正在继续监测此事,以防将来发生变化。
2017年03月03日 现在已经发现了对SHA1散列的实用漏洞
虽然我们在过去几年中一直在迁移我们的产品对SHA1的使用,但我们正在重新评估我们的产品对SHA1散列的任何剩余使用。我们预计,未来的版本将删除SHA1散列的使用,并分别转移到更强大的SHA3或SHA2程序。 了解更多
2016年11月10日 OpenSSL - 新安全版本1.1.0c
我们仍在审查这对我们设备的影响。我们认为这对Digi不会有任何影响,因为我们在产品中使用OpenSSL长期支持(LTS)版本的Openssl v1.0.2,而不是v1.1.0。
2016年10月21日 Dirty COW - (CVE-2016-5195)
我们正在对我们的产品进行针对该漏洞的全面测试。目前,我们已经发现有一些设备受到轻微影响。然而,由于产品类型的原因,没有办法有效利用这个漏洞的设备。


通知

9月30日, 2020 Digi International发布的软件验证哈希值
本文件将提供文件加密散列,以验证收到的软件是Digi正式提供的软件。在为企业推出关键软件或固件之前,CIP-010-3 R1第1.6部分和其他良好的安全做法都需要这些人类验证方法。
下载
2019年7月19日 后续的SACK漏洞知识库文章
有关受SACK漏洞影响的Digi设备的更详细列表,请参阅以下知识库文章,https://www.digi.com/support/knowledge-base/sack_vulnerability 了解更多
2017年5月3日 评估安全漏洞VU#561444
关于CVE-2014-9222、CVE-2014-9223的扩展信息
许多Digi产品包含并使用RomPager by Allegrosoft网络服务器技术。我们注意到,这种用于管理我们的设备的嵌入式网络服务器包含我们定义为关键的漏洞。我们敦促任何拥有这些产品的客户,如果在非安全的网络中可以使用管理网络服务器,请将固件升级到有补丁的版本,或者禁用网络服务器来管理这些设备。 了解更多

凭借全球可扩展性、认证和合规性,Digi开发了Digi TrustFence™,一个安全框架以及一系列最佳实践,使我们的安全方法在市场上脱颖而出,包括。

一个专门的安全办公室确保安全的最佳实践被纳入工程设计过程。我们的方法结合了公认的准则和流程,考虑到产品设计和测试,如美国质量协会/失效模式影响分析;iSixSigma/DFMEA;ISO9001 SDLC,渗透测试执行标准和OWASP;以及新兴的标准,如在线信任联盟(OTA)。此外,我们积极参加既定的标准机构,包括ZigBee®联盟、Thread Group和SunSpec联盟,并且是互联网安全中心等既定组织的成员。

我们独立的安全实验室以各种方式测试我们的产品,包括漏洞分析和渗透测试。我们熟练的测试人员已经获得了领先的安全机构的认证,包括(ISC)2、EC-Council - Licensed Pen Tester(LPT/ECSA/CEH),以及六西格玛的能力。此外,我们超越了一般的信息技术认证,提供适用于特定市场的行业专业认证,如能源、政府、医疗、工业、零售、运输等。

我们专门的安全团队定期与产品和工程团队就关键的安全问题进行合作。在设计过程中,我们采取系统的安全方法--包括设计、软件、物理属性等,使安全成为产品生命周期的一部分。我们还让我们的客户和合作伙伴参与这一过程,以确保在实际部署环境中测试安全的现实生活方法。

通过提供持续的威胁测量和监测服务,以及定期进行内部和外部安全审计,我们确保我们的云平台提供最新的安全补丁,并就即将到来的威胁提供持续的主动沟通。我们的云平台符合最新的安全框架,并作为一个管理服务提供商获得了PCI合规报告。

联系我们以了解更多关于安全的信息