Miljontals routrar sårbara för säkerhetshålet Misfortune Cookie

Minst 12 miljoner routrar rapporteras vara sårbara för vad som kallas för Misfortune Cookie, en särskilt utformad kaka som ger fri tillgång till systemet och öppnar upp för djupare intrång i det lokala nätverk.

Det trillar ständigt in nya rapporter om säkerhetshot, vissa allvarligare än andra. Nu larmar säkerhetsföretaget Check Point om att en äldre sårbarhet fortfarande återfinns i miljontals routrar världen över och lämnar många hemnätverk öppna för angrepp. Detta eftersom routrarnas mjukvara sällan eller aldrig uppdateras.

misfortune.jpg

Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application and system state. This, in effect, can trick the attacked device to treat the current session with administrative privileges - to the misfortune of the device owner.

Sårbarheten kallas för Misfortune Cookie och berör webbservertjänsten Rompager, som ofta används för att erbjuda webbaserade administrationsgränssnitt i routrar för hemmabruk. Genom att skapa en särskilt utformad kaka kan angripare få fri tillgång till systemet och ta sig vidare till det lokala nätverket för att exempelvis plantera skadlig kod, stjäla filer eller avlyssna och manipulera trafiken.

Säkerhetshålet sägs vara särskilt allvarlig, inte minst till följd av det väldiga antalet berörda användare. Säkerhetsföretaget räknar med att cirka 200 olika routermodeller från bland annat Airlink, D-Link, Huawei, TP-Link, Zyxel och ZTE är drabbade och att det totala antalet sårbara enheter uppgår till minst 12 miljoner.

Samtidigt uppges Misfortune Cookie vara ovanligt enkel att utnyttja eftersom det inte krävs några särskilda förutsättningar eller tillstånd, något som gör det möjligt att utföra stora mängder angrepp på kort tid.

Check Point uppmanar därför alla med någon av de berörda routrarna att leta rätt på en ny version av firmware som rättar säkerhetshålet, och om det inte tillhandahålls, kontakta tillverkaren eller internetleverantören. Det är alltid en god vana att dessutom lösenordsskydda alla enheter på det lokala nätverk.

Kommentarer till artikeln

65 debattinlägg

Skicka en rättelse
0

Testpilot: Cooler Master Mastermouse Pro L

Cooler Masters modulära mus Mastermouse Pro L passar både vänster- och högerhänta samt olika greppstilar. Testpiloten Niklas Huhtala sätter tänderna i modellen och ser vad den går för. Läs mer

8

Microsoft samarbetar med Qualcomm för att ta Windows 10 till ARM-processorer

I ett något oväntat drag meddelar nu Microsoft att Windows 10 i framtiden kommer kunna köras på ARM-processorer, med stöd för samtliga Windows-applikationer och spel. Läs mer

17

AMD introducerar Radeon Software Crimson ReLive

Ett år efter introduktionen av mjukvarusviten Radeon Software Crimson har det blivit dags för nästa inkarnation, där en av de stora nyheterna är en hårdvaruaccelererad inspelningsfunktion. Läs mer

24

Bethesda plockar bort kopieringskyddet Denuvo i Doom

Utvecklaren Bethesda blir nu den andra som på kort tid gör sig av med kopieringsskyddet Denuvo, efter Playdeads Inside. Anledningen tros vara att skyddet kringgicks kort efter lanseringen. Läs mer

1

Fulkultur tipsar om underhållning för julen

Julen står för dörren, och med det gott om tid för att gräva ned sig i säsongens nöjesutbud. Fulkultur står till tjänst med en komplett guide. Läs mer

Vattenkylning signerad Be Quiet i dagens kalenderlucka

  • idag 12:00

Det vankas både tävling och specialpris runt kylaren Silent Loop när Inet och Be Quiet intar dagens lucka. Rulla igång sångfabriken och bege dig till jukalendern! Läs mer

24

Bluetooth 5.0 lanserat – fyra gånger längre räckvidd och dubbelt så snabbt

Nu har organisationen Bluetooth SIG färdigställt nästa version av den trådlösa tekniken Bluetooth. Bland nyheterna nämns förbättringar såsom fördubblad hastighet och kraftigt ökad räckvidd. Läs mer

9

Microsoft berättar mer om sin VR-satsning

Microsofts kommande VR-headset ska enligt dem själva vara jämförbart mot HTC Vive och Oculus Rift, men med ett lägre pris och betydligt lägre krav på komponenter. Läs mer

11

Fira och festa med oss när FZ fyller 20 år

Ikväll vankas partaj när spelsiten FZ firar 20 år på Skyddsrummet i Stockholm. Häng med via direktsändning på Twitch och bilder i galleriet! Läs mer

64

Intel kan börja använda teknik från AMD för grafik i sina processorer

Enligt nya uppgifter ska Intel använda sig av teknik från AMD för att tillverka grafikkretsar till sina processorer. Detta så företagets avtal med Nvida går ut i början av nästa år. Läs mer

121

Post- och telestyrelsen: "Telia bryter mot nätneutraliteten"

Efter ett antal månaders utredning har nu Post- och telestyrelsen kommit fram till att Telias fri surf-kampanj bryter mot nätneutraliteten. Därför uppmanar de nu företaget att ändra denna. Läs mer

37

Nanoxia lanserar retroosande tangentbordet Ncore Retro

Inspirerat av gamla skrivmaskiner lanserar nu Nanoxia tangentbordet Ncore Retro, en mekanisk modell med cirkelformade tangenter. Läs mer