有问题吗?

数码网络安全中心

欢迎来到Digi的安全中心,在这里,我们将努力使您的一站式的安全新闻,信息和资源相关的我们的产品和服务。


警报

2020年6月16日RIPPLE20 - 在TRECK TCP / IP的多个漏洞嵌入式软件 - VU#257161
许多影响TCP/IP内部堆栈处理的高级漏洞(CVE)已经被识别出来。Digi从2月份开始就与客户一起安装固件更新来解决这个问题。在特定的情况下,这些漏洞可能会导致在没有身份验证的情况下通过基于网络的攻击远程执行代码。

CVSSv3.1得分8.1:CVSS: 3.1 / AV: N /交流:H /公关:N / UI: N / S: U / C: H /我:H: H

一些价格Digi产品被认定为受影响,我们强烈建议您立即更新固件。

这些产品包括:
  • 的DigiCONNECT®ME,的DigiCONNECT®EM,的DigiCONNECT®WME,的DigiCONNECT®SP,和的DigiCONNECT®ES;的DigiCONNECT®9C,价格DigiCONNECT®9P;
  • 的DigiConnectPort®TS,的DigiConnectPort®X2,向DigiConnectPort®X4;
  • 的DigiAnywhereUSB®(第一和第二代,不加);
  • 7250的NetSilicon,9210,9215,9360,9750;
  • 使用NET + OS 7.X开发环境的任何产品。
欲了解更多信息,请阅读价格Digi知识库文章
2020年6月2日反射攻击WR11,WR21,WR31,WR41,WR44系列路由器 - VU#636397 - CVE-2020-10136

高水平的漏洞(CVSS => 7.0)被发现对的Digi WR11,WR21,WR31,WR41和WR44蜂窝路由器。这次袭击使IP-in-IP封装,通过有漏洞的设备被用于路由任意的网络流量。

请下载固件V8.1.0.1(或更高版本)来修复此问题。另外,在设备WAN接口(或蜂窝接口)端口上启用防火墙特性也将减轻这种攻击。

有关此漏洞的更多信息,请参阅的Digi支撑部分中的知识库文章

学到更多
2020年3月16日安全会话SRP短暂值的随机化

一个漏洞被发现在Digi的XBee 3 Zigbee和价格Digi的XBee 802.15.4 3个固件,其中用于安全会话SRP认证短暂的值,除非BLE启用未随机化。此功能通常用于保护防止未授权的远程配置网络。

欲了解更多信息,请访问://www.vanrunkle.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

2020年3月5日ZigBee的传输密钥“在明确”送

一个漏洞被发现于其中先前与所述网络相关联的路由器可以使用预先配置的无效链路密钥被允许返回到安全网络一代的XBee的ZigBee模块(S2B,S2C,和S2D)。在这之后,这个节点可能无意中通过“中明确的”网络密钥,以试图通过它来连接设备。

欲了解更多信息,请访问://www.vanrunkle.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

2020年2月11日Digi ConnectPort LTS漏洞-1个不受限制的上传,3个存储跨站点脚本漏洞- ICS Advisory (icsha -20-042-13)

漏洞研究人员Murat Aydemir和Fatih Kayran在Digi ConnectPort LTS固件的ConnectPort LTS web界面中发现了上述漏洞。针对这些问题的建议解决方案包括将固件升级到产品的最新版本。有关完整的US-CERT指南,请参阅:https://www.us-cert.gov/ics/advisories/icsa-20-042-13

对于固件更新,请访问://www.vanrunkle.com/support/supporttype?type=firmware

2019年6月25日“SACK”漏洞- (CVE-2019-11477、CVE-2019-11478、CVE-2019-5599、CVE-2019-11479)
数码网络Intl。知道最近被称为“SACK”漏洞的四个漏洞。我们目前正在评估影响,并在已知的受影响的产品中协调修复。更多关于修复时间的信息将在下周公布。需要注意的是,这些漏洞不会影响任何Digi设备的机密性和完整性。所有这些漏洞都被归类为“拒绝服务”问题。这意味着可以将设备从网络中踢出或重新启动设备。学到更多
2019年2月19日CVE-2018-20162重大安全漏洞-受限Shell逃脱
漏洞是由斯蒂格Palmquist在上面提到的路由器发现。此漏洞允许与现有的全管理,命令行访问,来获得设备上一个root shell能力的个体。此漏洞不可远程利用。我们建议客户升级到版本等于或高于4.5.1更大。它也指出,即使有这个漏洞,路由器的许多关键部件是只读的,并安装代码由安全引导过程的保护。更多细节将发表在这个问题上Digi的知识库。学到更多
2018年10月24日libSSH关键漏洞:CVE-2018-10933
Digi知道libssh库中存在一个严重的漏洞。我们已经进行了影响分析,以确定是否有Digi产品受到影响。我们相信目前没有Digi产品受到这个漏洞的影响,因为我们不会在我们的产品中使用这个库。我们将继续关注这一情况,如果情况发生变化,我们将发布更多信息。学到更多
2018年1月5日幽灵党和崩溃脆弱性- (CVE-2017-5715, CVE-2017-5753,和CVE-2017-5754)

价格Digi知道,最近发布的幽灵和熔化的漏洞。这些漏洞影响的英特尔,AMD和ARM处理器上运行的数据的机密性。

对于Digi硬件产品,我们不使用Intel或AMD处理器,因此“Meltdown”漏洞不会影响Digi硬件产品。

对于Spectre漏洞,Digi安全团队正在努力确定其实际影响以及使用ARM处理器的Digi硬件产品的补丁。

对于价格Digi远程管理和设备的云,我们正在与我们的供应商地址幽灵和熔化的工作。

更多信息将尽快,因为它是可以提供的。有关这些漏洞的详细信息,请参阅网站https://meltdownattack.com/

请继续检查这个空间的更新,或订阅以上的RSS提要。

2017年11月29日发现的漏洞与运输WR系列无线蜂窝路由器

三个漏洞已经被卡巴斯基实验室发现在WR系列传输路由器。这些漏洞的等级从高到低。受影响的设备是Digi传输WR11、WR21、WR41、WR44和WR31。这包括“R”和“RR”版本。受影响的脆弱服务是SNMP、FTP和命令行接口。有关发现的漏洞的更多信息,包括补丁、缓解措施和总体风险,请参见知识库文章

学到更多
二零一七年十月三十零日Blueborne漏洞
Digi意识到BlueBorne的漏洞与蓝牙连接的渗透有关,可能导致未授权访问设备和/或数据。BlueBorne可以影响普通的电脑、手机、嵌入式设备以及其他通过蓝牙连接的设备。请参考https://www.armis.com/blueborne/有关漏洞的详细信息。对于嵌入式产品,我们强烈建议客户查看有关Blueborne漏洞可用的公共信息,并使用缓解办法,包括在社区中已经可以修复。我们还打算对相关漏洞尽快提供修复/解决方法。在此期间,请联系我们如果您有关于这个漏洞可能会如何影响您正在使用的产品的Digi /平台的任何问题。
2017年10月20日DNSmasq网络服务(CVE-2017-14491)
我们已经评估了这个漏洞对我们的设备的影响,并得出结论,传输LR54是唯一受到影响的Digi设备。我们已经在3.1.0.4及以上版本的固件中为这个漏洞提供了补丁。请参见价格Digi支持站点的LR54产品固件版本
2017年10月16日KRACK攻击
Digi意识到定义的Wi-Fi安全协议WPA2中的漏洞。这被定义为KRACK攻击。我们已经发布了受影响产品的新固件,并发布了关于受影响产品和解决方案的完整技术声明,请参阅我们的知识库文章
2017年10月1日Mirai僵尸网络影响调查
这时,我们已检讨这一点,我们不知道我们的任何设备,可以由该僵尸网络被compromized。我们将继续监视这情况下,这个变化在未来。
2017年3月03SHA1哈希的实际利用现在已经被发现
虽然在过去的几年中我们一直在迁移SHA1的产品使用,但是我们正在重新评估我们的产品是否还有SHA1 hash的使用。我们预计未来的版本将删除SHA1散列的使用,并分别转移到更强的SHA3或SHA2例程。学到更多
2016年11月10日,新的安全版本1.1.0c
我们仍在检讨这对我们的设备的影响。我们相信,这不会有任何的Digi影响,我们使用OpenSSL 1.0.2的OpenSSL的长期支持(LTS)版本,在我们的产品,而不是V1.1.0。
2016年10月21日肮脏的牛 - (CVE-2016-5195)
我们是在完全测试产品针对此漏洞的过程。目前,我们已经发现,略微影响了几个设备。然而,由于产品类型,有没有办法有效地利用此漏洞的设备。


通知

2019年7月19日跟帖SACK漏洞知识库文章
有关受SACK漏洞影响的Digi设备的详细列表,请参阅以下知识库文章,//www.vanrunkle.com/support/knowledge-base/sack_vulnerability学到更多
2017年5月3日,的安全漏洞VU#561444评价
扩展信息CVE-2014-9222, CVE-2014-9223
许多的Digi产品中含有和Allegrosoft Web服务器技术使用RomPager。它已经到了我们的注意,这嵌入式Web服务器,它用于我们的设备的管理包含哪些我们定义为关键漏洞。我们敦促谁可能有这些产品所在行政区的网络服务器可在非安全网络固件要么升级到一个补丁版本或禁用Web服务器对这些设备进行管理的一个任何客户。学到更多

随着全球可扩展性,认证和法规遵从,Digi成功开发的Digi TrustFence™,推出了一系列的最佳做法,使我们的安全的方式脱颖而出在市场上,包括沿一个安全框架:

专用安全办公室确保安全最佳实践被纳入工程设计过程。我们的方法结合了公认的准则和过程,考虑到产品设计和测试,如那些由美国质量/失效模式效应分析协会定义的;iSixSigma / DFMEA;ISO9001 SDLC、渗透测试执行标准、OWASP;以及在线信任联盟(OTA)等新兴标准。此外,我们是ZigBee®联盟、Thread Group和SunSpec联盟等老牌标准组织的积极参与者,也是互联网安全中心等老牌组织的成员。

我们的独立安全实验室用各种方法测试我们的产品,包括漏洞分析和渗透测试。我们熟练的测试人员已经获得了主要安全机构的认证,包括(ISC)2, EC-Council - certified Pen Tester (LPT/ECSA/CEH),以及六西格玛能力认证。此外,我们不仅提供通用的信息技术认证,还提供适用于特定市场的行业认证专业知识,如能源、政府、医疗、工业、零售、交通等。

我们的专门的安全小组定期对关键安全问题的产品和工程团队合作。在设计过程中,我们采取了系统的安全性的方法 - 涵盖设计,软件,物理属性和多 - 使得产品生命周期的安全性部分。我们也涉及到我们的客户和合作伙伴的过程中,以确保实际的部署环境中的安全性测试实际生活的做法。

通过提供持续的威胁测量和监视服务并定期进行内部和外部的安全审计,我们可以确保我们的云平台提供了最新的安全补丁,并提供有关即将到来的威胁正在积极主动的沟通。我们的云平台符合最新的安全框架,并已获取了一个符合PCI报告作为托管服务提供商。

有关安全的更多信息,请与我们联系