Firmware-Update für für CS141, BACS & SITEMANAGER

Die Welt scheint nicht zur Ruhe zu kommen und die Negativ-schlagzeilen reißen nicht ab. Der Wandel zur Cybersecurity war zwar absehbar, aber erst durch die Corona-Pandemie 2020-2022 nahm das Thema Homeoffice richtig Fahrt auf und damit der Sicherheitsanspruch vieler Unternehmen. Seitdem hat sich unser Arbeits- und Lebensstil massiv verändert und die IT-Abteilungen stehen vor zahlreichen neuen Herausforderungen. Die Sicherheitslage in der Welt hat sich seitdem weiter verschärft und das Thema „Cybersecurity“ steht bei unseren Kunden nun ganz oben auf der Prioritäten-Liste. Cybersecurity und Netzwerksicherheit ist für unsere zivilen und militärischen Kunden zum Top-Thema geworden.

Hinzu kommt, dass der beginnende Wirtschaftskrieg zwischen USA und China auch eine Abkehr Europas von Chinesischen Produkten zur Folge hat. GENEREX und alle anderen noch verbliebenen westlichen IT-Firmen sehen das Netzwerkprodukte die NICHT aus China stammen zur ersten Wahl für aller Betreiber von westlicher kritischer Infrastruktur geworden sind!
Wie kritisch Anwender die Herkunft von Batteriemanagement Produkten aus China mittlerweile bewerten sieht man an der Anweisung des US Präsidenten Joe Biden vom 15.April 2024 das alle aus chinesischer Produktion stammenden Batteriespeicher im US Militär wegen möglicher Cyberattacken umgehend auszutauschen sind. Grund dafür sind die Fokussierung von Cyberangriffen auf den Energiesektor. Das US Militär wurde angewiesen die auszutauschenden Systeme gegen solche aus US Produktion bzw. von verbündeten Nationen zu ersetzen. Auch die EU versucht sich gegen solche Angriffe zu wehren, aber wegen der Abhängigkeit von Chinesische Lieferketten wird der Verursacher nicht beim Namen genannt sondern nur höhere Anforderungen an die Sicherheitsrichtlinien für Cybersecurity im Energiesektor gestellt. Da sind die USA mal wieder deutlicher in der Reaktion …

Link: US-Verteidigungsministerium verbietet proaktiv chinesische Batteriespeichersysteme aufgrund potentieller Bedrohungen aus dem Ausland - Notebookcheck.com News

Die Vermeidung chinesischer Komponenten ist eine Philosophie, der GENEREX seit Jahren folgt. Natürlich führt diese Entscheidung, westliche Fertigung zu bevorzugen dazu, dass unsere Produkte teurer sind als die der oft politisch subventionierten Konkurrenz. Mit der neuen Bedrohungslage hat sich der Wind jedoch zu unseren Gunsten gedreht:
GENEREX gehört zu den letzten unabhängigen westlichen Herstellern von Netzwerkprodukten für kritische Infrastrukturen. Unsere Produkte Made in EU bzw. Made in USA sind gefragter denn je, und in nahezu jedem Netzwerk der westlichen Welt zu finden!
Grund dafür ist unsere besonders kritische Betrachtung von Cybersecurity für unsere Produkte, welche wir mit jedem Firmware- oder Software-Update verbessern.

Wir unterscheiden zwischen Sicherheitsrelevanten und normalen Qualitätsupdates:

Diese Updates zielen speziell auf die Sicherheit unserer Geräte ab und enthalten wichtige Aktualisierungen, um den sich ständig ändernden und immer strengeren Cybersicherheitsanforderungen gerecht zu werden.

Unter diesem „Normal“-TAG laufen Service-Updates zur Verbesserung des Bedienkomforts, neue Funktionen, Kundenwünsche oder Fehlerbeseitigungen, die nicht die Sicherheit des Gerätes betreffen.

Wir stellen weiterhin die folgende Emailadressen für Meldungen von Schwachstellenberichten bereit. Unter security@generex.us für Nordamerika und security@generex.de für Europa untersuchen wir eingehende Meldungen und liefern korrigierte Versionen umgehend über unsere Downloadbereich der GENEREX Websites aus.

In der Fußzeile unserer Website finden Sie einen speziellen Link mit dem Titel "Sicherheit" (https://www.generex.de/security). Über diesen Link können Sie Fragen zur Cybersicherheit oder Ausfallsicherheit unserer Produkte übermitteln. Der Link enthält die oben genannte E-Mail-Adresse sowie einen GPG-Schlüssel für die erforderliche Verschlüsselung der Nachrichten zwischen uns und dem Melder der Sicherheitslücke.
Wir haben kürzlich ein neues Firmware-Update für alle unsere Netzwerkprodukte seit 2016 veröffentlicht: Sicherheitsupdate Version FW 2.18. Es handelt sich um ein umfangreiches Update, dass keine Rückkehr zu älteren, unsichereren Versionen der Firmware zulässt. Im Folgenden erläutern wir die Neuerungen. Wir bitten unsere GENEREX-Partner, ihren Kunden dringend zu empfehlen, ein Update auf die aktuelle Version durchzuführen.

Auszug der Security Updates Firmware 2.12 - 2.18

Mit der Firmware 2.18 wurden zahlreiche Updates und Neuerungen eingeführt. Insbesondere im Bereich der Cybersecurity wurden seit dem letzten Cybersecurity-Update FW 2.12 weitere Optimierungen vorgenommen. Dadurch können wir erneut den Spitzenplatz bezüglich Netzwerksicherheit in unserer Branche beanspruchen.
Im Folgenden finden Sie eine Auflistung der wichtigsten Änderungen, jeweils mit unserer internen Ticketnummer als Referenz.

[T5047]
Versuchte Zugriffe aus dem Netzwerk werden nun im EVENT LOG als Klartext protokolliert, umso den Angreifer ermitteln zu können.

[T5069]
Ein sicheres Passwort wird für einige OEM-Kunden nach dem ersten Login nun eingefordert.

[T5002]
Das Passwort für sFTP-Zugriffe wurde verschärft um es gegen „brute force“-Angriffe zu immunisieren.

[T5003]
Der SSH-Server wurde intern upgedated und ist somit sicherer als die Vorgängerversion.

[T5135]
Der sFTP-Zugang wurde eingeschränkt auf einen limitierten Datenbereich.

[T5122]
Die Verwendung von unsicheren Protokollen erzeugt nun einen Warnhinweis im Webserver.

[T5121]
Die Supportfunktion “Serial Trace” ist per Default ausgeschaltet, um Angriffe via TLS 1.0 oder 1.1 zu verhindern.

[T4989]
Angriffe unter Ausnutzung einer TIMESERVER-Schwäche via WGET-Script werden verhindert.

[T4863]
Verschlüsselung des UPSTCP-Protokolls und http ist nun per Default aktiv.

[T4933]
Die “Password Vergessen”-Funktion wurde aus Sicherheitsgründen entfernt und ein Zurücksetzen eines vergessenen Passworts ist nur noch mit Verlust der Konfiguration möglich – kompletter Reset auf Auslieferungszustand.

[T4987]
SNMP-Traps können individuell konfiguriert und getestet werden. Damit wird eine Inbetriebnahme für SNMP-Anwender vereinfacht, man kann gefahrlos alle Arten von SNMP-Traps auslösen und so die Funktion mit der SNMP-Auswertungssoftware testen, ohne dafür bei der USV irgendwelche echten Alarm provozieren zu müssen.

[T5060]
BACS-Stromsensoren können durch den Anwender vor Ort kalibriert werden, um so eventuelle Einstreuungen zu kompensieren.

[T5149]
Ein Firmware Downgrade von der FW 2.18 zu niedrigeren Versionen ist aus Sicherheitsgründen nicht mehr erlaubt.

Die volle Liste der Änderungen kann unter folgendem Link jederzeit eingesehen werden:  https://generex.de/support/changelogs/cs141