Miljontals routrar sårbara för säkerhetshålet Misfortune Cookie

Minst 12 miljoner routrar rapporteras vara sårbara för vad som kallas för Misfortune Cookie, en särskilt utformad kaka som ger fri tillgång till systemet och öppnar upp för djupare intrång i det lokala nätverk.

Det trillar ständigt in nya rapporter om säkerhetshot, vissa allvarligare än andra. Nu larmar säkerhetsföretaget Check Point om att en äldre sårbarhet fortfarande återfinns i miljontals routrar världen över och lämnar många hemnätverk öppna för angrepp. Detta eftersom routrarnas mjukvara sällan eller aldrig uppdateras.

misfortune.jpg

Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application and system state. This, in effect, can trick the attacked device to treat the current session with administrative privileges - to the misfortune of the device owner.

Sårbarheten kallas för Misfortune Cookie och berör webbservertjänsten Rompager, som ofta används för att erbjuda webbaserade administrationsgränssnitt i routrar för hemmabruk. Genom att skapa en särskilt utformad kaka kan angripare få fri tillgång till systemet och ta sig vidare till det lokala nätverket för att exempelvis plantera skadlig kod, stjäla filer eller avlyssna och manipulera trafiken.

Säkerhetshålet sägs vara särskilt allvarlig, inte minst till följd av det väldiga antalet berörda användare. Säkerhetsföretaget räknar med att cirka 200 olika routermodeller från bland annat Airlink, D-Link, Huawei, TP-Link, Zyxel och ZTE är drabbade och att det totala antalet sårbara enheter uppgår till minst 12 miljoner.

Samtidigt uppges Misfortune Cookie vara ovanligt enkel att utnyttja eftersom det inte krävs några särskilda förutsättningar eller tillstånd, något som gör det möjligt att utföra stora mängder angrepp på kort tid.

Check Point uppmanar därför alla med någon av de berörda routrarna att leta rätt på en ny version av firmware som rättar säkerhetshålet, och om det inte tillhandahålls, kontakta tillverkaren eller internetleverantören. Det är alltid en god vana att dessutom lösenordsskydda alla enheter på det lokala nätverk.

Kommentarer till artikeln

65 debattinlägg

Skicka en rättelse
6

Microsoft bekräftar ytterligare en stor uppdatering till Windows 10 i år

Det har tidigare talats om en andra uppdatering till Windows 10 under 2017 och nu har detta bekräftats av Microsoft. Vad denna uppdatering innefattar är dock än så länge okänt. Läs mer

12

Qualcomm och Intel introducerar gigabit-LTE

I väntan på 5G-generationens ankomst introducerar nu både Qualcomm och Intel LTE-modem för integrerade kretsar där kapaciteten överskrider gigabit-hastigheter. Läs mer

15

AMD bekräftar Vega-snack på GDC 2017

Det börjar sakta men säkert dra ihop sig till en ny grafikarkitektur från AMD. Nu bekräftar företaget att mer information om Vega presenteras under evenemanget Capsaicin redan nästa vecka. Läs mer

70

Återförsäljare: Inga fler NES Classic Edition

Det är full fart i svängarna runt NES Classic Edition. Nu meddelar återförsäljare att produktionen upphör – tvärt emot Nintendos officiella information. Läs mer

52

Test: Intel Core i3-7350K och Pentium G4560

SweClockers testlabb får besök av fler Kaby Lake-processorer i form av den första upplåsta Core i3-modellen samt budgetorienterade, och numera Hyperthreading-bestyckade, Pentium G4560. Läs mer

116

AMD Ryzen 7 1700X med åtta kärnor prestandatestas

Ny information om AMD Ryzen fortsätter dyka upp på webben. Denna gång är det resultat för Ryzen 7 1700X i diverse testmjukvaror, vilka visar på bättre prestanda än flera Intel-modeller. Läs mer

84

Telia: "Vi kommer inte blockera Pirate Bay"

Kort efter domen mot Bredbandsbolaget meddelar nu Telia att de inte kommer införa någon blockering av The Pirate Bay, såvida de inte tvingas till detta genom ett domstolsbeslut. Läs mer

58

AMD Ryzen-kylare hittar ut på bild – får namnen Wraith Max och Wraith Spire

Kort efter att bilder på färdiga exemplar av AMD:s kommande processor Ryzen hittat ut på webben efterföljs nu detta av de medföljande standardkylarna. Läs mer

50

AOC avtäcker två nya spelskärmar på 27 och 31,5 tum med AMD Freesync och 144 Hz

Med fokus på gamers introducerar AOC nu två nya skärmar i företagets Agon-serie. Det handlar om två högupplösta modeller med stöd för AMD Freesync och hög bilduppdateringsfrekvens. Läs mer

77

AMD Ryzen hittar ut på bild

Inom kort lanserar AMD sin nya processorarkitektur Ryzen. Nu har de första bilderna på de färdiga processorerna hittat ut på webben, samt även ingenjörsexemplar. Läs mer

84

Nintendo Switch plockas isär och hittar ut på webben

Inför den stundande lanseringen av Nintendo Switch dyker nu bilder på konsolen i isärplockat läge upp på webben, vilka skvallrar om enhetens komponenter. Läs mer

14

Microsoft kan lansera nytt Hololens 2019

Nya uppgifter talar för att nästa version av Hololens kan komma först 2019. Detta då Microsoft hoppar över en planerad inkrementell uppgradering till fördel för en mer omfattande. Läs mer