Digi 安全中心

Digi PortServer TS；Digi One SP、SP IA、IA；Digi One IAP 的验证处理不当

Digi International 发现了一个安全漏洞，该漏洞影响到运行发布日期在 2025 年之前的固件的所有产品版本：

• 端口服务器 TS
• Digi One SP/Digi One SP IA/Digi One IA
• Digi One IAP

我们致力于确保产品的安全性和完整性以及客户的安全。发现此问题后，我们的工程团队展开了全面调查，并开发了一个修复程序来解决该漏洞。

ConnectPort LTS 已发布安全修复程序

为改进 Digi ConnectPort LTS 网络接口处理请求的方式，我们发布了一套安全修复程序，可通过以下链接下载："https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware"。

无法更新固件的客户应禁用 ConnectPort LTS 设备网页，直到他们能够安排更新。

通过命令行禁用和重新启用网络服务的命令如下：

#> 设置服务 ra=10,11 state=off

以重新启用网络服务：

#> 设置服务 ra=10,11 state=on

已发布 WR11、WR21、WR31、WR44R 和 WR44RR 的安全修复程序

已为 WR11、WR21、WR31、WR44R、WR44RR 版本 8.6.0.4 发布安全修复程序，以修补 SSH 实体初始化未初始化变量的问题，从而防止在建立第一个 SSH 会话后开始完成未经验证的 SSH 会话。请从我们的支持网站或通过以下方式下载最新固件 Digi Remote Manager

Terrapin 攻击 - SSH 漏洞

尊敬的客户，我们想通知您最近发现的一个常见漏洞和暴露（CVE）影响了我们的一些设备。有关详细信息和建议采取的措施，请访问以下链接。感谢您对此事的关注，并感谢您一直以来对我们服务的信任。

RealPort CVE

所附文件包括 Dragos 提交的报告中的漏洞发现。这些是 Dragos 向我们 Digi International 报告的 CVE。其中包括一份 Dragos 报告为存在漏洞的 Digi International 产品表。

Ripple20 公开披露

Digi International 最近发现 CVE-2020-11901 仍在影响我们的 NDS 和 NET+OS 产品线，这些产品线是 Ripple20 漏洞的一部分。Digi 发现修补该漏洞是适当的。请参阅我们的知识文章，了解与此漏洞相关的补丁发布情况。

我们的开发团队已经为该漏洞开发了一个补丁，我们强烈建议您尽快应用该更新，以确保您设备的安全。

我们非常重视产品的安全性，并对由此造成的不便深表歉意。如果您有任何问题或疑虑，请随时联系我们的支持团队。

继 Digi 之前宣布推出 WiFi Frag Attack 之后。

以下是我们详细介绍 WiFi Frag 攻击的知识型文章链接
碎片攻击安全信息

OpenSSL 严重 CVE 的安全更新：CVE-2022-3786 和 CVE-2022-3602

Digi International 正在调查新的关键 OpenSSL 漏洞CVE-2022-3786和CVE-2022-3602。

目前，EX50 和 TX64 设备存在 CVE-2022-3786 和 CVE-2022-3602 漏洞。所有其他 Digi Accelerated Linux (DAL) 产品不受影响。EX50 和 TX64 固件将在下一次发布补丁时进行更新，以缓解这些漏洞。

Digi Embedded Yocto 4.0-r1 版本目前受 CVE-2022-3786 和 CVE-2022-3602 漏洞影响，将在下一次发布补丁时更新以缓解这些漏洞。所有其他版本的 DEY 均不受影响。

其他 OpenSSL 库也正在接受检查。被发现未及时更新的库也将收到补丁。

任何进一步的问题......，我们将予以解决，以进一步缓解这些关切

关于加利福尼亚州SB-327法案和CISA 22-216-01号咨询意见，涉及在2020年1月1日之前生产的Digi Connect Port X设备

Digi International 建议使用 1-1-2020 年前生产的 Connect Port X 设备，将根用户的默认密码更改为设备上的自定义值。

Digi 安全漏洞提交流程已更改

您可以填写 Bugcrowd 的表格，在右上角提交漏洞。我们鼓励研究人员或客户提供电子邮件，以便更好地与您直接沟通。请重新提交过去 90 天内发送到security@digi.com而我们没有回复您的任何漏洞。我们感谢您为 Digi International Inc.

软件验证哈希值现已成为发布说明的一部分

访问 Digi 支持网站并查找您的产品

CVE-2022-22963 和 CVE-2022-22965 不会影响 Digi 品牌产品

经过进一步的尽职调查，Digi 品牌产品不存在 CVE-2022-22963 或 CVE-2022-22965 (Spring4Shell) 漏洞。

Digi Passport 固件更新

改进网络界面请求处理方式的安全修复程序已经发布，可通过以下链接下载： https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/

Spring4Shell 漏洞 (CVE-2022-22963)

Digi 目前正在调查整个产品线受到的影响。最新情况将在此处发布。

BN_mod_sqrt() 中的 OpenSSL 无限循环 (CVE-2022-0778)

Digi 目前正在调查整个产品线受到的影响。最新情况将在此处发布。

我们发现以下四种产品存在与 log4j 漏洞 CVE-2021-44228 和 CVE-2021-45046 相关的脆弱版本

请注意，这些产品不会受到 CVE-2021-45105 中引用的最新 log4j 漏洞的影响，下面的最新安装程序已将 log4j 升级到 2.16。我们在下文各产品旁边提供了修补所述 CVE 的直接链接。

智能 IOmux：智能 IOmux

Digi XCTU：XCTU

Digi XBee 多功能编程器XBee 多功能编程器

Digi XBee 网络助理：Digi XBee 网络助理

我们认为，这些漏洞不会直接利用我们的产品，因为它们是由个人用户运行的桌面应用程序，不能通过互联网访问或通过网络服务使用。上述四款产品是我们目前所知的所有受影响产品。如果我们发现任何进一步的问题，我们将更新本页面。有关未受影响产品的更多信息，请查看下面日期为 2021 年 12 月 14 日的文章。

经过详细调查，Digi 确定 Apache Log4j CVE-2021-44228 不会影响我们的许多产品/产品系列。未受影响的产品如下。

如果您没有找到产品，请注意我们正在继续进行内部测试，一旦有了结果，我们将立即更新下面的列表。

不受 Apache Log4j CVE-2021 影响的设备：

• CTEK G6200 系列
• CTEK SkyCloud
• CTEK Z45 系列
• Digi 54xx 系列
• Digi 63xx 系列
• Digi AnywhereUSB (G2) 系列
• Digi AnywhereUSB Plus 系列
• Digi Connect 系列
• Digi Connect EZ 系列
• Digi Connect IT 系列
• Digi ConnectPort 系列
• Digi ConnectPort LTS 系列
• Digi Connect 传感器系列
• Digi Connect WS 系列
• 嵌入式安卓系统
• Digi 嵌入式 Yocto
• Digi EX 路由器
• Digi IX 路由器
• Digi LR54
• Digi One 系列
• 数字护照系列
• Digi PortServer TS 系列
• Digi Rabbit 嵌入式系列
• Digi TX 路由器
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

软件/管理平台：

• AnywhereUSB 管理器
• Aview
• ARMT
• AVWOB
• 数字导航仪
• Digi Remote Manager
• Digi Xbee 移动应用
• 动态 C
• 灯塔
• Realport
• 远程集线器配置实用程序

Apache Log4j CVE-2021-44228 漏洞

Digi 目前正在调查整个产品线受到的影响。我们目前尚未发现任何影响。我们将继续努力工作，一旦在整个组织内得出结论，我们将立即更新。

FragAttacks - WiFi 裂变和聚合攻击

目前，Digi 仍在审查这些攻击及其对我们设备的影响。从攻击的性质来看，我们预计 Digi 设备将受到影响。

不过，必须指出的是，即使存在这些攻击，DIgi 的一贯政策和建议是，网络通信绝不应依赖数据层（WiFi/蓝牙）的保护和标准。其中许多都是在硬件中实现的，很难改变。如果使用了良好的网络实践（TLS/证书等），这些漏洞就不会造成任何实际影响。只有在存在其他缺陷或问题的情况下，这些漏洞才会产生影响。

Digi 打算解决这些问题，以保持我们在产品安全方面的纵深防御战略。由于这些问题的复杂性，我们相信我们能够在 2021 年第四季度或更早的时间内解决这些问题。

AMNESIA:33 - VU#815128 - 物联网 (IoT ) 中使用的多个 TCP/IP 协议栈因内存管理不当而存在多个漏洞。

Digi International从未生产过任何可能受AMNESIA:33漏洞影响的产品。我们的客户无需采取任何行动。

Digi International 发布软件验证哈希值

本文件将提供文件加密哈希值，以验证收到的软件是否为 Digi 正式提供的软件。在为企业推出关键软件或固件之前，CIP-010-3 R1 第 1.6 部分和其他良好的安全实践都要求采用这些人类验证方法。
下载

RIPPLE20 - TRECK TCP/IP 嵌入式软件中的多个漏洞 - VU#257161

已发现一些影响 TCP/IP 内部堆栈处理的高级漏洞 (CVE)。Digi 自二月份以来一直在与客户合作安装固件更新，以解决这一问题。在特定情况下，这些漏洞有可能导致在未进行身份验证的情况下通过网络攻击远程执行代码。

CVSSv3.1 得分为 8.1：CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

有几款 Digi 产品已被确认受到影响，我们强烈建议您立即更新固件。

这些产品包括

• Digi Connect® ME、Digi Connect® EM、Digi Connect® WME、Digi Connect® SP 和 Digi Connect® ES；Digi Connect® 9C、Digi Connect® 9P；
• Digi ConnectPort® TS、Digi ConnectPort® X2、Digi ConnectPort® X4；
• Digi AnywhereUSB®（第一代和第二代，非 Plus）；
• NetSilicon 7250、9210、9215、9360、9750；
• 任何使用 NET+OS 7.X 开发环境的产品。

更多信息，请阅读Digi 知识库文章。

反射攻击 WR11、WR21、WR31、WR41、WR44 系列路由器 - VU#636397 - CVE-2020-10136

在 Digi WR11、WR21、WR31、WR41 和 WR44 蜂窝路由器上发现一个高级漏洞（CVSS => 7.0）。该攻击允许使用 IP-in-IP 封装通过受攻击设备路由任意网络流量。

请下载固件 V8.1.0.1（或更高版本）以修复此问题。另外，在设备的广域网接口（或蜂窝接口）端口上启用防火墙功能也可以减轻这种攻击。

有关此漏洞的更多信息，请参阅 Digi 支持部分的知识库文章

安全会话 SRP 瞬时值的随机化

Digi XBee 3 Zigbee 和Digi XBee 3 802.15.4 固件上发现一个漏洞，除非启用 BLE，否则用于安全会话 SRP 身份验证的短暂值不会随机化。该功能通常用于确保网络安全，防止未经授权的远程配置。

欲了解更多信息，请访问： https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Zigbee 传输密钥 "透明 "发送

在早一代 XBee ZigBee 模块（S2B、S2C 和 S2D）上发现了一个漏洞，在该漏洞中，先前与网络相关联的路由器可以使用无效的预配置链接密钥重新进入安全网络。此后，该节点可能会无意中将网络密钥 "明文 "传递给试图通过它加入网络的设备。

欲了解更多信息，请访问： https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Digi ConnectPort LTS 漏洞 - 1 个不受限制的上传和 3 个存储的跨站点脚本漏洞 - ICS 咨询 (ICSA-20-042-13)

漏洞研究人员 Murat Aydemir 和 Fatih Kayran 在 Digi ConnectPort LTS 固件的 ConnectPort LTS Web 界面中发现了上述漏洞。这些问题的建议修复方法包括将固件更新到产品的最新版本。有关 US-CERT 指南的全文，请参阅： https://www.us-cert.gov/ics/advisories/icsa-20-042-13

有关固件更新，请访问： https://www.digi.com/support/supporttype?type=firmware

SACK 漏洞知识库后续文章

有关受 SACK 漏洞影响的 Digi 设备的更详细列表，请参阅以下知识库文章：https://www.digi.com/support/knowledge-base/sack_vulnerability

"SACK "漏洞 - （CVE-2019-11477、CVE-2019-11478、CVE-2019-5599 和 CVE-2019-11479）

Digi Intl. 意识到最近出现了四个称为 "SACK "的漏洞。目前，我们正在对已知受影响产品的影响进行审查，并协调修复工作。有关修复时间表的更多信息将于下周公布。必须指出的是，这些漏洞不会影响任何 Digi 设备的保密性和完整性。所有这些漏洞都被归类为 "拒绝服务 "问题。这意味着有可能将设备踢出网络或重新启动设备。

Digi LR54/WR64/WR54 CVE-2018-20162 重大安全漏洞 - 受限外壳逃逸

Stig Palmquist 在上述路由器中发现了一个漏洞。该漏洞允许拥有完全管理员命令行访问权限的个人在设备上获得 root shell。该漏洞不可被远程利用。我们建议客户升级到等于或大于 4.5.1 的版本。我们还注意到，即使存在这个漏洞，路由器的许多关键部分也是只读的，安装的代码受到安全启动过程的保护。有关此问题的更多详细信息将发布在 Digi 的知识库中。

libSSH 严重漏洞：CVE-2018-10933

Digi 意识到 libssh 库中存在一个关键漏洞。我们进行了影响分析，以确定是否有 Digi 产品受到影响。我们认为目前没有 Digi 产品受到该漏洞的影响，因为我们的产品中没有使用该库的功能。我们将继续监控这一情况，如果情况有变，我们将发布更多信息。

Spectre 和 Meltdown 漏洞 - (CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754)

Digi 意识到最近发布的 Spectre 和 Meltdown 漏洞。这些漏洞会影响在英特尔、AMD 和 ARM 处理器上运行的数据的保密性。

对于 Digi 硬件产品，我们不使用英特尔或 AMD 处理器，因此 "熔断 "漏洞不会影响 Digi 硬件产品。

对于 Spectre 漏洞，Digi 安全团队正在努力确定其对使用 ARM 处理器的 Digi 硬件产品的实际影响和修补程序。

对于Digi Remote Manager 和设备云，我们正与供应商合作解决 Spectre 和 Meltdown 问题。

一旦获得更多信息，我们将立即提供。有关这些漏洞的更多信息，请访问网站https://meltdownattack.com/。

请继续关注本空间的更新，或订阅上面的 RSS 源。

发现 TransPort WR 系列蜂窝路由器存在漏洞

卡巴斯基实验室在 WR 系列传输路由器中发现了三个漏洞。这些漏洞的评级从高到低。受影响的设备是 Digi TransPort WR11、WR21、WR41、WR44 和 WR31。这也包括 "R "和 "RR "版本。受影响的易受攻击服务包括 SNMP、FTP 和命令行界面。有关已发现漏洞的更多信息，包括修补程序、缓解措施和总体风险，请参阅知识库文章。

蓝本脆弱性

Digi 意识到 BlueBorne 漏洞与蓝牙连接的渗透有关，可能导致未经授权访问设备和/或数据。BlueBorne 会影响普通计算机、移动电话、嵌入式设备和其他具有蓝牙连接功能的联网设备。有关该漏洞的详细信息，请参阅https://www.armis.com/blueborne/。对于嵌入式产品，我们强烈建议客户查看有关 Blueborne 漏洞的可用公开信息，并采用缓解方法，包括社区中已有的修复方法。我们还打算尽快提供相关漏洞的修复/解决方法。在此期间，如果您对该漏洞如何影响您正在使用的 Digi 产品/平台有任何疑问，请联系我们。

DNSmasq 网络服务（CVE-2017-14491）

我们已经评估了该漏洞对我们设备的影响，结论是 Transport LR54 是唯一受到影响的 Digi 设备。我们已在 3.1.0.4 及以上版本的固件中提供了针对该漏洞的补丁。有关 LR54 产品的固件版本，请参阅Digi 支持网站。

KRACK 攻击

Digi 意识到定义的 Wi-Fi 安全协议 WPA2 中存在一个漏洞。我们已经为受影响的产品发布了新固件，有关受影响产品和解决方法的完整技术声明，请参阅我们的知识库文章。

Mirai 僵尸网络影响调查

目前，我们已经对此进行了审查，没有发现我们的任何设备会受到该僵尸网络的威胁。我们将继续对此进行监控，以防将来发生变化。

安全漏洞评估 VU#561444

关于 CVE-2014-9222、CVE-2014-9223 的扩展信息
许多 Digi 产品包含并使用 Allegrosoft 的 RomPager 网络服务器技术。我们注意到，这个用于管理我们设备的嵌入式 Web 服务器包含一个我们定义为关键的漏洞。我们敦促任何可能拥有这些产品的客户，在非安全网络上使用管理网络服务器时，要么将固件升级到已打补丁的版本，要么禁用网络服务器来管理这些设备。

现已发现针对 SHA1 哈希算法的实用漏洞

尽管我们在过去几年中一直在迁移产品对 SHA1 的使用，但我们正在重新评估产品对 SHA1 哈希值的剩余使用。我们预计，未来的版本将取消 SHA1 哈希值的使用，并分别转而使用更强的 SHA3 或 SHA2 例程。

OpenSSL - 新安全版本 1.1.0c

我们相信这不会对 Digi 造成任何影响，因为我们的产品使用的是 OpenSSL 长期支持 (LTS) 版本的 Openssl v1.0.2，而不是 v1.1.0。

脏 COW - (CVE-2016-5195)

我们正在针对该漏洞全面测试我们的产品。目前，我们发现一些设备受到轻微影响。不过，由于产品类型的原因，我们无法有效利用存在此漏洞的设备。