Haben Sie eine Frage?

Digi Security Center

Willkommen bei Digi's Security Center, wo wir uns bemühen werden, dies zu Ihrer zentralen Anlaufstelle für alle Sicherheitsnachrichten, Informationen und Ressourcen im Zusammenhang mit unseren Produkten und Dienstleistungen zu machen.


 

Alarme

09. Dezember 2020 AMNESIA:33 - VU#815128 - Mehrere TCP/IP-Stacks, die im Internet der Dinge (IoT) verwendet werden, weisen mehrere Schwachstellen auf, die auf unsachgemäße Speicherverwaltung zurückzuführen sind.
Digi International hat keine Produkte hergestellt, die von den AMNESIA:33 Sicherheitslücken betroffen sein könnten. Es besteht kein Handlungsbedarf für unsere Kunden.
Jun 16, 2020 RIPPLE20 - Mehrere Schwachstellen in TRECK TCP/IP Embedded Software - VU#257161
Es wurde eine Reihe von High-Level-Schwachstellen (CVE's) identifiziert, die die interne TCP/IP-Stack-Verarbeitung betreffen. Digi arbeitet seit Februar mit Kunden zusammen, um Firmware-Updates zu installieren, die das Problem beheben. Unter bestimmten Umständen kann es möglich sein, dass diese Schwachstellen zu einer Remotecodeausführung über einen netzwerkbasierten Angriff ohne Authentifizierung führen können.

CVSSv3.1-Score von 8.1: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Mehrere Digi-Produkte wurden als betroffen identifiziert, und wir empfehlen dringend, dass Sie Ihre Firmware sofort aktualisieren.

Diese Produkte umfassen:
  • Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, und Digi Connect® ES; Digi Connect® 9C, Digi Connect® 9P;
  • Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4;
  • Digi AnywhereUSB® (First und Second Gen, NICHT Plus);
  • NetSilicon 7250, 9210, 9215, 9360, 9750;
  • Alle Produkte, die die NET+OS 7.X Entwicklungsumgebungen verwenden.
Für weitere Informationen lesen Sie bitte die Digi Wissensbasis Artikel.
02. Juni 2020 Reflexionsangriff WR11,WR21,WR31,WR41,WR44 Serie Router - VU#636397 - CVE-2020-10136

Eine hochgradige Sicherheitslücke (CVSS => 7.0) wurde auf den Digi WR11,WR21,WR31,WR41 und WR44 Mobilfunk-Routern entdeckt. Durch den Angriff kann die IP-in-IP-Kapselung genutzt werden, um beliebigen Netzwerkverkehr durch ein verwundbares Gerät zu leiten.

Bitte laden Sie die Firmware V8.1.0.1 (oder höher) herunter, um dieses Problem zu beheben. Alternativ kann dieser Angriff auch durch Aktivieren der Firewall-Funktion am Port der WAN-Schnittstelle (oder der Mobilfunkschnittstelle) des Geräts entschärft werden.

Weitere Informationen zu dieser Sicherheitslücke finden Sie im Knowledge-Base-Artikel im Digi-Support-Bereich

Mehr erfahren
Mar 16, 2020 Randomisierung von Secure Session SRP ephemeren Werten

In den Digi XBee 3 Zigbee und Digi XBee 3 802.15.4 Firmwares wurde eine Schwachstelle entdeckt, bei der die ephemeren Werte, die für die Secure Session SRP-Authentifizierung verwendet werden, nicht randomisiert werden, sofern BLE nicht aktiviert ist. Diese Funktion wird typischerweise verwendet, um Netzwerke gegen unautorisierte Fernkonfiguration zu sichern.

Weitere Informationen finden Sie unter: https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Mär 05, 2020 Zigbee-Transportschlüssel werden "unbemerkt" gesendet

Auf XBee-ZigBee-Modulen der früheren Generation (S2B, S2C und S2D) wurde eine Schwachstelle entdeckt, bei der ein Router, der zuvor mit dem Netzwerk verbunden war, mit einem ungültigen vorkonfigurierten Verbindungsschlüssel wieder in das gesicherte Netzwerk zugelassen werden kann. Danach könnte dieser Knoten den Netzwerkschlüssel versehentlich "im Klartext" an Geräte weitergeben, die versuchen, sich über ihn zu verbinden.

Weitere Informationen finden Sie unter: https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

11. Februar 2020 Sicherheitslücken in Digi ConnectPort LTS - 1 unbeschränkter Upload und 3 gespeicherte Cross-Site-Scripting-Schwachstellen - ICS Advisory (ICSA-20-042-13)

Die Schwachstellenforscher Murat Aydemir und Fatih Kayran entdeckten die oben genannten Schwachstellen in der ConnectPort LTS-Webschnittstelle der Digi ConnectPort LTS-Firmware. Die empfohlene Behebung dieser Probleme beinhaltet ein Update der Firmware auf die neueste Version für Ihr Produkt. Die vollständige US-CERT-Anleitung finden Sie unter: https://www.us-cert.gov/ics/advisories/icsa-20-042-13

Firmware-Updates finden Sie unter: https://www.digi.com/support/supporttype?type=firmware

Jun 25, 2019 "SACK"-Schwachstelle - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 und CVE-2019-11479)
Digi Intl. ist sich vier aktueller Sicherheitslücken bewusst, die als "SACK"-Schwachstellen bekannt sind. Wir prüfen derzeit die Auswirkungen und koordinieren Fixes innerhalb unserer bekanntermaßen betroffenen Produkte zu diesem Zeitpunkt. Weitere Informationen über den Zeitplan für die Behebung der Schwachstellen werden in der nächsten Woche verfügbar sein. Es ist wichtig zu beachten, dass diese Schwachstellen KEINE Auswirkungen auf die Vertraulichkeit und Integrität der Digi-Geräte haben. Alle diese Schwachstellen sind als "Denial of Service"-Probleme eingestuft. Das bedeutet, dass es möglich sein kann, ein Gerät aus dem Netzwerk zu werfen oder das Gerät neu zu starten. Mehr erfahren
19. Februar 2019 Digi LR54/WR64/WR54 CVE-2018-20162 Major Security Vulnerability - Restricted Shell escape
Eine Sicherheitslücke wurde von Stig Palmquist in den oben genannten Routern entdeckt. Diese Sicherheitsanfälligkeit ermöglicht es einer Person mit bestehendem Volladmin-Befehlszeilenzugriff, eine Root-Shell auf dem Gerät zu erhalten. Diese Sicherheitslücke ist nicht aus der Ferne ausnutzbar. Wir empfehlen unseren Kunden ein Upgrade auf die Version 4.5.1 oder höher. Es wird auch darauf hingewiesen, dass selbst mit dieser Schwachstelle viele kritische Teile des Routers schreibgeschützt sind und der installierte Code durch einen sicheren Boot-Prozess geschützt ist. Weitere Details zu diesem Problem werden in der Knowledge Base von Digi veröffentlicht. Mehr erfahren
24. Okt. 2018 libSSH Kritische Sicherheitslücke: CVE-2018-10933
Digi ist sich einer kritischen Sicherheitslücke in den libssh-Bibliotheken bewusst. Wir haben eine Auswirkungsanalyse durchgeführt, um festzustellen, ob Digi-Produkte betroffen sind. Wir gehen zum jetzigen Zeitpunkt davon aus, dass KEINE Digi-Produkte von dieser Schwachstelle betroffen sind, da wir diese Bibliothek nicht für Funktionen in unseren Produkten verwenden. Wir werden die Situation weiter beobachten und weitere Informationen veröffentlichen, wenn sich der Status ändert. Mehr erfahren
Jan 05, 2018 Sicherheitslücken Spectre und Meltdown - (CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754)

Digi ist sich der Sicherheitslücken Spectre und Meltdown bewusst, die kürzlich veröffentlicht wurden. Diese Schwachstellen beeinträchtigen die Vertraulichkeit von Daten, die auf Intel-, AMD- und ARM-Prozessoren laufen.

Für Digi-Hardwareprodukte verwenden wir keine Intel- oder AMD-Prozessoren, und als Folge davon betrifft die "Meltdown"-Schwachstelle keine Digi-Hardwareprodukte.

Für die Spectre-Schwachstelle arbeiten die Sicherheitsteams von Digi daran, die praktischen Auswirkungen und Patches für Digi-Hardwareprodukte, die ARM-Prozessoren verwenden, zu ermitteln.

Für Digi Remote Manager & Device Cloud arbeiten wir mit unseren Anbietern an der Behebung von Spectre und Meltdown.

Zusätzliche Informationen werden zur Verfügung gestellt, sobald sie verfügbar sind. Weitere Informationen zu diesen Sicherheitslücken finden Sie auf der Website https://meltdownattack.com/.

Bitte schauen Sie weiterhin an dieser Stelle nach Updates, oder abonnieren Sie den obigen RSS-Feed.

29. November 2017 Entdeckte Sicherheitslücken bei Mobilfunk-Routern der TransPort WR-Serie

Drei Schwachstellen wurden von Kasperski Labs innerhalb der Transport-Router der WR-Serie gefunden. Diese Schwachstellen sind von hoch bis niedrig eingestuft. Die betroffenen Geräte sind der Digi TransPort WR11,WR21,WR41,WR44 und der WR31. Dazu gehören auch die "R"- und "RR"-Versionen. Die betroffenen verwundbaren Dienste sind SNMP, FTP und die Befehlszeilenschnittstelle. Weitere Informationen zu den entdeckten Schwachstellen, einschließlich Patches, Abhilfemaßnahmen und Gesamtrisiko, finden Sie im Knowledge Base-Artikel.

Mehr erfahren
30. Oktober 2017 Blueborne-Sicherheitslücke
Digi ist sich der BlueBorne-Schwachstelle bewusst, die sich auf das Eindringen in Bluetooth-Verbindungen bezieht und zu einem potenziell unberechtigten Zugriff auf Geräte und/oder Daten führt. BlueBorne betrifft gewöhnliche Computer, Mobiltelefone, eingebettete Geräte und andere verbundene Geräte mit Bluetooth-Verbindung. Detaillierte Informationen zu dieser Sicherheitslücke finden Sie unter https://www.armis.com/blueborne/. Für eingebettete Produkte empfehlen wir unseren Kunden dringend, die verfügbaren öffentlichen Informationen über die Blueborne-Schwachstelle zu prüfen und Abhilfemaßnahmen anzuwenden, einschließlich bereits verfügbarer Fixes in der Community. Wir beabsichtigen außerdem, so bald wie möglich Fixes/Workarounds für die damit verbundenen Sicherheitslücken bereitzustellen. In der Zwischenzeit kontaktieren Sie uns bitte, wenn Sie Fragen dazu haben, wie sich diese Sicherheitslücke auf die von Ihnen verwendeten Digi-Produkte/Plattformen auswirken kann.
20. Oktober 2017 DNSmasq Netzwerkdienst (CVE-2017-14491)
Wir haben die Auswirkungen dieser Schwachstelle auf unsere Geräte evaluiert und sind zu dem Schluss gekommen, dass der Transport LR54 das einzige Digi-Gerät ist, das betroffen ist. Wir haben einen Patch für diese Sicherheitslücke in den Firmware-Versionen 3.1.0.4 und höher zur Verfügung gestellt. Die Firmware-Versionen für das LR54-Produkt finden Sie auf der Digi-Supportseite.
16. Oktober 2017 KRACK-Attacke
Digi ist sich einer Schwachstelle innerhalb des definierten Wi-Fi-Sicherheitsprotokolls WPA2 bewusst. Dies wurde als KRACK-Attacke definiert. Wir haben neue Firmware für betroffene Produkte veröffentlicht. Eine vollständige technische Erklärung zu betroffenen Produkten und Workarounds finden Sie in unserem Knowledge-Base-Artikel.
Okt 01, 2017 Mirai Botnet Auswirkungsuntersuchungen
Zum jetzigen Zeitpunkt haben wir dies überprüft und sind uns keiner unserer Geräte bewusst, die durch dieses Botnet kompromittiert werden können. Wir überwachen dies weiterhin, falls sich dies in Zukunft ändern sollte.
03. März 2017 Praktische Exploits für SHA1-Hashing wurden jetzt entdeckt
Obwohl wir die Verwendung von SHA1 in unseren Produkten in den letzten Jahren migriert haben, evaluieren wir unsere Produkte hinsichtlich der verbleibenden SHA1-Hash-Verwendung neu. Wir gehen davon aus, dass zukünftige Versionen die Verwendung von SHA1-Hashes aufheben und zu den stärkeren SHA3- bzw. SHA2-Routinen wechseln werden. Mehr erfahren
10. November 2016 OpenSSL - Neues Sicherheitsrelease 1.1.0c
Wir prüfen noch die Auswirkungen auf unsere Geräte. Wir gehen davon aus, dass dies keine Auswirkungen für Digi haben wird, da wir in unseren Produkten die OpenSSL long term support (LTS) Version von Openssl v1.0.2 und nicht v1.1.0 verwenden.
21. Oktober 2016 Dirty COW - (CVE-2016-5195)
Wir sind gerade dabei, unsere Produkte vollständig gegen diese Sicherheitslücke zu testen. Derzeit haben wir ein paar Geräte gefunden, die leicht betroffen sind. Aufgrund des Produkttyps gibt es jedoch keine Möglichkeit, die Geräte mit dieser Sicherheitslücke effektiv auszunutzen.


Benachrichtigungen

30. September 2020 Digi International veröffentlicht Software-Validierungs-Hashes
Dieses Dokument stellt kryptographische Hashes für Dateien zur Verfügung, um zu validieren, dass die erhaltene Software die von Digi offiziell bereitgestellte Software ist. Diese menschlichen Validierungsmethoden sind für CIP-010-3 R1 Teil 1.6 und für andere gute Sicherheitspraktiken vor dem Rollout von kritischer Software oder Firmware für das Unternehmen erforderlich.
Herunterladen
19. Juli 2019 Folgeartikel zur SACK-Schwachstelle in der Knowledge Base
Eine detailliertere Liste der Digi-Geräte, die von der SACK-Schwachstelle betroffen sind, finden Sie im folgenden KB-Artikel, https://www.digi.com/support/knowledge-base/sack_vulnerability. Mehr erfahren
03. Mai 2017 Bewertung der Sicherheitsschwachstelle VU#561444
Erweiterte Informationen zu CVE-2014-9222, CVE-2014-9223
Viele Digi-Produkte enthalten und verwenden die RomPager by Allegrosoft Webserver-Technologie. Wir sind darauf aufmerksam geworden, dass dieser eingebettete Webserver, der für die Verwaltung unserer Geräte verwendet wird, eine von uns als kritisch eingestufte Sicherheitslücke enthält. Wir fordern alle Kunden, die eines dieser Produkte besitzen, bei denen der administrative Webserver in nicht sicheren Netzwerken verfügbar ist, dringend auf, entweder die Firmware auf eine gepatchte Version zu aktualisieren oder den Webserver für die Verwaltung dieser Geräte zu deaktivieren. Mehr erfahren

Mit globaler Skalierbarkeit, Zertifizierungen und Konformität hat Digi Digi TrustFence™ entwickelt, ein Sicherheits-Framework zusammen mit einer Reihe von Best Practices, die unseren Sicherheitsansatz auf dem Markt hervorheben, darunter:

Ein spezielles Sicherheitsbüro, das sicherstellt, dass die besten Sicherheitspraktiken in den technischen Designprozess integriert werden. Unser Ansatz umfasst anerkannte Richtlinien und Prozesse, die Produktdesign und -tests berücksichtigen, wie z. B. die von der American Society for Quality/ Failure Mode Effects Analysis; iSixSigma/DFMEA; ISO9001 SDLC, Penetration Testing Execution Standard und OWASP; sowie aufkommende Standards wie die Online Trust Alliance (OTA). Darüber hinaus sind wir aktive Teilnehmer in etablierten Standardisierungsgremien wie der ZigBee® Alliance, der Thread Group und der SunSpec Alliance und sind Mitglied in etablierten Organisationen wie dem Center for Internet Security.

Unser eigenständiges Sicherheitslabor testet unsere Produkte auf vielfältige Weise, einschließlich Schwachstellenanalyse und Penetrationstests. Unsere qualifizierten Testmitarbeiter haben Zertifizierungen von führenden Sicherheitsgremien erhalten, darunter (ISC)2, EC-Council - Licensed Pen Tester (LPT/ECSA/CEH) und in Six Sigma-Fähigkeiten. Darüber hinaus gehen wir über allgemeine Informationstechnologie-Zertifizierungen hinaus und bieten Branchenexpertise in Zertifizierungen, die für bestimmte Märkte gelten, wie z. B. Energie, Regierung, Medizin, Industrie, Einzelhandel, Transport und mehr.

Unser engagiertes Sicherheitsteam arbeitet regelmäßig mit Produkt- und Entwicklungsteams an wichtigen Sicherheitsfragen zusammen. Im Designprozess verfolgen wir einen systematischen Sicherheitsansatz - der Design, Software, physische Attribute und mehr umfasst - und machen die Sicherheit zu einem Teil des Produktlebenszyklus. Wir beziehen auch unsere Kunden und Partner in den Prozess ein, um einen praxisnahen Ansatz zu gewährleisten, der die Sicherheit in tatsächlichen Einsatzumgebungen testet.

Durch fortlaufende Bedrohungsmessungen und Überwachungsdienste sowie regelmäßige interne und externe Sicherheitsaudits stellen wir sicher, dass unsere Cloud-Plattform aktuelle Sicherheitspatches bietet, und bieten eine fortlaufende proaktive Kommunikation zu aufkommenden Bedrohungen. Unsere Cloud-Plattformen entsprechen den neuesten Sicherheits-Frameworks und haben als Managed Service Provider einen PCI Report on Compliance erworben.

Kontaktieren Sie uns für weitere Informationen zum Thema Sicherheit