Digi 安全中心

ConnectPort LTS 已发布安全修复程序

为改进 Digi ConnectPort LTS 网络接口处理请求的方式，我们发布了一套安全修复程序，可通过以下链接下载："https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware"。

无法更新固件的客户应禁用 ConnectPort LTS 设备网页，直到他们能够安排更新。

通过命令行禁用和重新启用网络服务的命令如下：

#> 设置服务 ra=10,11 state=off

以重新启用网络服务：

#> 设置服务 ra=10,11 state=on

已发布 WR11、WR21、WR31、WR44R 和 WR44RR 的安全修复程序

已为 WR11、WR21、WR31、WR44R、WR44RR 版本 8.6.0.4 发布安全修复程序，以修补 SSH 实体初始化未初始化变量的问题，从而防止在建立第一个 SSH 会话后开始完成未经验证的 SSH 会话。请从我们的支持网站或通过以下方式下载最新固件 Digi Remote Manager

Terrapin 攻击 - SSH 漏洞

尊敬的客户，我们想通知您最近发现的一个常见漏洞和暴露（CVE）影响了我们的一些设备。有关详细信息和建议采取的措施，请访问以下链接。感谢您对此事的关注，并感谢您一直以来对我们服务的信任。

RealPort CVE

所附文件包括 Dragos 提交的报告中的漏洞发现。这些是 Dragos 向我们 Digi International 报告的 CVE。其中包括一份 Dragos 报告为存在漏洞的 Digi International 产品表。

Ripple20 公开披露

Digi International 最近发现 CVE-2020-11901 仍在影响我们的 NDS 和 NET+OS 产品线，这些产品线是 Ripple20 漏洞的一部分。Digi 发现修补该漏洞是适当的。请参阅我们的知识文章，了解与此漏洞相关的补丁发布情况。

我们的开发团队已经为该漏洞开发了一个补丁，我们强烈建议您尽快应用该更新，以确保您设备的安全。

我们非常重视产品的安全性，并对由此造成的不便深表歉意。如果您有任何问题或疑虑，请随时联系我们的支持团队。

继 Digi 之前宣布推出 WiFi Frag Attack 之后。

以下是我们详细介绍 WiFi Frag 攻击的知识型文章链接
碎片攻击安全信息

OpenSSL 严重 CVE 的安全更新：CVE-2022-3786 和 CVE-2022-3602

Digi International 正在调查新的关键 OpenSSL 漏洞CVE-2022-3786和CVE-2022-3602。

目前，EX50 和 TX64 设备存在 CVE-2022-3786 和 CVE-2022-3602 漏洞。所有其他 Digi Accelerated Linux (DAL) 产品不受影响。EX50 和 TX64 固件将在下一次发布补丁时进行更新，以缓解这些漏洞。

Digi Embedded Yocto 4.0-r1 版本目前受 CVE-2022-3786 和 CVE-2022-3602 漏洞影响，将在下一次发布补丁时更新以缓解这些漏洞。所有其他版本的 DEY 均不受影响。

其他 OpenSSL 库也正在接受检查。被发现未及时更新的库也将收到补丁。

任何进一步的问题......，我们将予以解决，以进一步缓解这些关切

Digi 安全漏洞提交流程已更改

CVE-2022-22963 和 CVE-2022-22965 不会影响 Digi 品牌产品

Digi Passport 固件更新

Spring4Shell 漏洞 (CVE-2022-22963)

BN_mod_sqrt() 中的 OpenSSL 无限循环 (CVE-2022-0778)

我们发现以下四种产品存在与 log4j 漏洞 CVE-2021-44228 和 CVE-2021-45046 相关的脆弱版本

请注意，这些产品不会受到 CVE-2021-45105 中引用的最新 log4j 漏洞的影响，下面的最新安装程序已将 log4j 升级到 2.16。我们在下文各产品旁边提供了修补所述 CVE 的直接链接。

智能 IOmux：智能 IOmux

Digi XCTU：XCTU

Digi XBee 多功能编程器XBee 多功能编程器

Digi XBee 网络助理：Digi XBee 网络助理

我们认为，这些漏洞不会直接利用我们的产品，因为它们是由个人用户运行的桌面应用程序，不能通过互联网访问或通过网络服务使用。上述四款产品是我们目前所知的所有受影响产品。如果我们发现任何进一步的问题，我们将更新本页面。有关未受影响产品的更多信息，请查看下面日期为 2021 年 12 月 14 日的文章。

经过详细调查，Digi 确定 Apache Log4j CVE-2021-44228 不会影响我们的许多产品/产品系列。未受影响的产品如下。

如果您没有找到产品，请注意我们正在继续进行内部测试，一旦有了结果，我们将立即更新下面的列表。

不受 Apache Log4j CVE-2021 影响的设备：

• CTEK G6200 系列
• CTEK SkyCloud
• CTEK Z45 系列
• Digi 54xx 系列
• Digi 63xx 系列
• Digi AnywhereUSB (G2) 系列
• Digi AnywhereUSB Plus 系列
• Digi Connect 系列
• Digi Connect EZ 系列
• Digi Connect IT 系列
• Digi ConnectPort 系列
• Digi ConnectPort LTS 系列
• Digi Connect 传感器系列
• Digi Connect WS 系列
• 嵌入式安卓系统
• Digi 嵌入式 Yocto
• Digi EX 路由器
• Digi IX 路由器
• Digi LR54
• Digi One 系列
• 数字护照系列
• Digi PortServer TS 系列
• Digi Rabbit 嵌入式系列
• Digi TX 路由器
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

软件/管理平台：

• AnywhereUSB 管理器
• Aview
• ARMT
• AVWOB
• 数字导航仪
• Digi Remote Manager
• Digi Xbee 移动应用
• 动态 C
• 灯塔
• Realport
• 远程集线器配置实用程序

Apache Log4j CVE-2021-44228 漏洞

FragAttacks - WiFi 裂变和聚合攻击

目前，Digi 仍在审查这些攻击及其对我们设备的影响。从攻击的性质来看，我们预计 Digi 设备将受到影响。

不过，必须指出的是，即使存在这些攻击，DIgi 的一贯政策和建议是，网络通信绝不应依赖数据层（WiFi/蓝牙）的保护和标准。其中许多都是在硬件中实现的，很难改变。如果使用了良好的网络实践（TLS/证书等），这些漏洞就不会造成任何实际影响。只有在存在其他缺陷或问题的情况下，这些漏洞才会产生影响。

Digi 打算解决这些问题，以保持我们在产品安全方面的纵深防御战略。由于这些问题的复杂性，我们相信我们能够在 2021 年第四季度或更早的时间内解决这些问题。

AMNESIA:33 - VU#815128 - 物联网 (IoT ) 中使用的多个 TCP/IP 协议栈因内存管理不当而存在多个漏洞。

RIPPLE20 - TRECK TCP/IP 嵌入式软件中的多个漏洞 - VU#257161

• Digi Connect® ME、Digi Connect® EM、Digi Connect® WME、Digi Connect® SP 和 Digi Connect® ES；Digi Connect® 9C、Digi Connect® 9P；
• Digi ConnectPort® TS、Digi ConnectPort® X2、Digi ConnectPort® X4；
• Digi AnywhereUSB®（第一代和第二代，非 Plus）；
• NetSilicon 7250、9210、9215、9360、9750；
• 任何使用 NET+OS 7.X 开发环境的产品。

反射攻击 WR11、WR21、WR31、WR41、WR44 系列路由器 - VU#636397 - CVE-2020-10136

在 Digi WR11、WR21、WR31、WR41 和 WR44 蜂窝路由器上发现一个高级漏洞（CVSS => 7.0）。该攻击允许使用 IP-in-IP 封装通过受攻击设备路由任意网络流量。

请下载固件 V8.1.0.1（或更高版本）以修复此问题。另外，在设备的广域网接口（或蜂窝接口）端口上启用防火墙功能也可以减轻这种攻击。

有关此漏洞的更多信息，请参阅 Digi 支持部分的知识库文章

安全会话 SRP 瞬时值的随机化

Digi XBee 3 Zigbee 和Digi XBee 3 802.15.4 固件上发现一个漏洞，除非启用 BLE，否则用于安全会话 SRP 身份验证的短暂值不会随机化。该功能通常用于确保网络安全，防止未经授权的远程配置。

欲了解更多信息，请访问： https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Zigbee 传输密钥 "透明 "发送

在早一代 XBee ZigBee 模块（S2B、S2C 和 S2D）上发现了一个漏洞，在该漏洞中，先前与网络相关联的路由器可以使用无效的预配置链接密钥重新进入安全网络。此后，该节点可能会无意中将网络密钥 "明文 "传递给试图通过它加入网络的设备。

欲了解更多信息，请访问： https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Digi ConnectPort LTS 漏洞 - 1 个不受限制的上传和 3 个存储的跨站点脚本漏洞 - ICS 咨询 (ICSA-20-042-13)

漏洞研究人员 Murat Aydemir 和 Fatih Kayran 在 Digi ConnectPort LTS 固件的 ConnectPort LTS Web 界面中发现了上述漏洞。这些问题的建议修复方法包括将固件更新到产品的最新版本。有关 US-CERT 指南的全文，请参阅： https://www.us-cert.gov/ics/advisories/icsa-20-042-13

有关固件更新，请访问： https://www.digi.com/support/supporttype?type=firmware

"SACK "漏洞 - （CVE-2019-11477、CVE-2019-11478、CVE-2019-5599 和 CVE-2019-11479）

Digi LR54/WR64/WR54 CVE-2018-20162 重大安全漏洞 - 受限外壳逃逸

libSSH 严重漏洞：CVE-2018-10933

Spectre 和 Meltdown 漏洞 - (CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754)

Digi 意识到最近发布的 Spectre 和 Meltdown 漏洞。这些漏洞会影响在英特尔、AMD 和 ARM 处理器上运行的数据的保密性。

对于 Digi 硬件产品，我们不使用英特尔或 AMD 处理器，因此 "熔断 "漏洞不会影响 Digi 硬件产品。

对于 Spectre 漏洞，Digi 安全团队正在努力确定其对使用 ARM 处理器的 Digi 硬件产品的实际影响和修补程序。

对于Digi Remote Manager 和设备云，我们正与供应商合作解决 Spectre 和 Meltdown 问题。

一旦获得更多信息，我们将立即提供。有关这些漏洞的更多信息，请访问网站https://meltdownattack.com/。

请继续关注本空间的更新，或订阅上面的 RSS 源。

发现 TransPort WR 系列蜂窝路由器存在漏洞

卡巴斯基实验室在 WR 系列传输路由器中发现了三个漏洞。这些漏洞的评级从高到低。受影响的设备是 Digi TransPort WR11、WR21、WR41、WR44 和 WR31。这也包括 "R "和 "RR "版本。受影响的易受攻击服务包括 SNMP、FTP 和命令行界面。有关已发现漏洞的更多信息，包括修补程序、缓解措施和总体风险，请参阅知识库文章。

蓝本脆弱性

DNSmasq 网络服务（CVE-2017-14491）

我们已经评估了该漏洞对我们设备的影响，结论是 Transport LR54 是唯一受到影响的 Digi 设备。我们已在 3.1.0.4 及以上版本的固件中提供了针对该漏洞的补丁。有关 LR54 产品的固件版本，请参阅Digi 支持网站。

KRACK 攻击

Mirai 僵尸网络影响调查

现已发现针对 SHA1 哈希算法的实用漏洞

OpenSSL - 新安全版本 1.1.0c

脏 COW - (CVE-2016-5195)