Hace varias semanas Libelium fue informado por IBM sobre algunas vulnerabilidades web que se habían encontrado en el sistema Meshlium Manager. Como Libelium considera la seguridad como un elemento básico fundamental y esencial para todos sus proyectos de desarrollo se adoptaron inmediatamente nuevas medidas.
En respuesta al compromiso de Libelium con la seguridad de los dispositivos IoT, la empresa tomó medidas instantáneamente y todas las vulnerabilidades detectadas se modificaron automáticamente con una nueva versión del software publicado el 1 de agostost que está listo para ser descargado desde el Sistema Gestor. (Se adjunta una lista completa al final de esta nota).
El equipo de ciberseguridad de Libelium ha estado trabajando a fondo para que Meshlium IoT Gateway sea completamente a prueba de piratas informáticos. Bajo un entorno de pruebas controlado, han implementado importantes medidas de seguridad para detectar posibles fallos que podrían producirse en circunstancias extremadamente adversas y así aplicar soluciones que garanticen la máxima fiabilidad de la plataforma IoT.
Como resultado de las pruebas realizadas, los nuevos parches están disponibles para que los usuarios de Meshlium los descarguen con las actualizaciones del sistema Meshlium Manager. La empresa informó de la "Nueva actualización importante del software Meshlium" a todos los desarrolladores a través de un boletín informativo. De hecho, ya está disponible una nueva actualización de firmware que soluciona el problema de inyección de código: Meshlium Manager System v4.0.9 (para la generación actual de Meshlium) y Meshlium Manager System v3.2.9 (para la generación anterior de Meshlium).
Libelium agradece sinceramente el trabajo de IBM en la detección, así como su comunicación responsable sobre este descubrimiento. "Cualquier dispositivo puede ser vulnerable. Es muy importante probar continuamente y desarrollar los parches necesarios de forma urgente para dar confianza a los usuarios actuando con rapidez", afirma David Gascón, CTO de Libelium.
Nueva e importante actualización del software Meshlium
Estimado desarrollador,
Nos complace informar que hemos implementado nuevas versiones de firmware para Meshlium que incluyen importantes actualizaciones de seguridad.
Pueden descargarse gratuitamente siguiendo las instrucciones de los enlaces que figuran a continuación.
Actualizaciones de Meshlium Manager System v4.0.9 (generación actual de Meshlium):
- Mejoras de seguridad:
- Protocolo HTTPS para todas las conexiones del ManagerSystem (debe añadirlo como conexión de confianza en su navegador, explicado en el capítulo "Acceder a Meshlium - ¡hágalo fácil!" de la Guía Técnica de Meshlium.
- MySQL sobre SSL/TLS (nuevo usuario "sslroot").
- GnuPG para verificar y validar el nuevo firmware de actualización.
- Sistema Gestor de formularios reforzado para evitar posibles exploits web.
- Añadido el conector de nube AlibabaCloud al servicio de nube ApsaraDB usando MongoDB shell.
- Se han actualizado los siguientes conectores de nube: Amazon IoT, Cumulocity, Plasmacomp,Symphoni y Telit.
Actualizaciones de Meshlium Manager System v3.2.9 (antigua generación Meshlium):
- Protocolo HTTPS para todas las conexiones del Sistema Gestor (HTTP también disponible).
- Conexiones seguras MySQL (túnel SSH).
- GnuPG para cifrar y firmar archivos de actualización.
- Sistema Gestor de formularios reforzado para evitar posibles exploits web.
Con el fin de mantener la seguridad de los dispositivos Meshlium, recomendamos encarecidamente a todos los usuarios que apliquen la nueva versión del Sistema Gestor. Para actualizar su Meshlium, siga los pasos explicados en el capítulo "Actualización de Meshlium" de la Guía Técnica de Meshlium.
Lo mejor,
-El equipo de I+D de Libelium
Descargar el PR en formato PDF aquí.
Véase lo relacionado: Por qué los nodos sensores Libelium son inmunes a los ataques de las pasarelas IoT