Miljontals routrar sårbara för säkerhetshålet Misfortune Cookie

Minst 12 miljoner routrar rapporteras vara sårbara för vad som kallas för Misfortune Cookie, en särskilt utformad kaka som ger fri tillgång till systemet och öppnar upp för djupare intrång i det lokala nätverk.

Det trillar ständigt in nya rapporter om säkerhetshot, vissa allvarligare än andra. Nu larmar säkerhetsföretaget Check Point om att en äldre sårbarhet fortfarande återfinns i miljontals routrar världen över och lämnar många hemnätverk öppna för angrepp. Detta eftersom routrarnas mjukvara sällan eller aldrig uppdateras.

misfortune.jpg

Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application and system state. This, in effect, can trick the attacked device to treat the current session with administrative privileges - to the misfortune of the device owner.

Sårbarheten kallas för Misfortune Cookie och berör webbservertjänsten Rompager, som ofta används för att erbjuda webbaserade administrationsgränssnitt i routrar för hemmabruk. Genom att skapa en särskilt utformad kaka kan angripare få fri tillgång till systemet och ta sig vidare till det lokala nätverket för att exempelvis plantera skadlig kod, stjäla filer eller avlyssna och manipulera trafiken.

Säkerhetshålet sägs vara särskilt allvarlig, inte minst till följd av det väldiga antalet berörda användare. Säkerhetsföretaget räknar med att cirka 200 olika routermodeller från bland annat Airlink, D-Link, Huawei, TP-Link, Zyxel och ZTE är drabbade och att det totala antalet sårbara enheter uppgår till minst 12 miljoner.

Samtidigt uppges Misfortune Cookie vara ovanligt enkel att utnyttja eftersom det inte krävs några särskilda förutsättningar eller tillstånd, något som gör det möjligt att utföra stora mängder angrepp på kort tid.

Check Point uppmanar därför alla med någon av de berörda routrarna att leta rätt på en ny version av firmware som rättar säkerhetshålet, och om det inte tillhandahålls, kontakta tillverkaren eller internetleverantören. Det är alltid en god vana att dessutom lösenordsskydda alla enheter på det lokala nätverk.

Kommentarer till artikeln

65 debattinlägg

Skicka en rättelse
54

Testpilot: MSI Geforce GTX 1080 Ti Gaming X

Testpiloten Kalle "Flamso" Nilsson sätter MSI:s Geforce GTX 1080 Ti Gaming X på prov, ett kort som utlovar både bättre kylning och överklockningspotential än Founders Edition. Läs mer

50

Tio procent av Windows 10-användarna har uppdaterat till Creators Update

Två veckor efter lanseringen av Creators Update för Windows 10 har en tiondel av användarna uppdaterat till denna, där en stor del utgörs av Microsofts Surface Pro och Surface Book. Läs mer

6

Nvidia släpper drivrutin för Warhammer 40 000: Dawn of War 3

I och med lanseringen av Warhammer 40 000: Dawn of War 3 passar Nvidia på att släppa en ny drivrutin, vilken lägger till stöd för speltiteln samt tre nyligen lanserade VR-spel. Läs mer

12

European Hardware Association nominerar årets produkter inför Computex 2017

Efter överläggningar hos EHA:s nio redaktioner har nomineringarna för årets European Hardware Awards slutförts. Nu inleds röstningsprocessen, varefter vinnarna presenteras på Computex 2017. Läs mer

40

Id Software hyllar AMD Ryzen och lovar optimeringar för nästa spelmotor

Med många kärnor till låga prislappar med AMD Ryzen kommer Id Software lägga mer krut på parallellisering för nästa generations Idtech-spelmotor. Läs mer

51

Svenska operatörer utreds av EU för konkurrensbrott

Fyra svenska mobiloperatörer utreds av EU-kommissionen för kartellbildning och missbrukande av sin ställning på marknaden, något som ska ha missgynnat deras konkurrenter. Läs mer

61

Test: Radeon RX 580 och RX 570 från Sapphire och Powercolor

Med en förfinad variant av Polaris under bältet utmanar AMD i mellanklassen med nya Radeon RX 500-serien. SweClockers sätter tänderna i två modeller på prov i en rykande färsk testsvit. Läs mer

71

Samsung Galaxy S8 slår förbokningsrekord

Trots diskussioner om skadat varumärke rapporterar nu Samsung om förbokningsrekord för deras senaste mobiltelefoner Galaxy S8, med en 30 procents ökning över den tidigare rekordhållaren. Läs mer

78

AMD demonstrerar 8K-videoredigering med arkitekturen Vega

Efter att i ett år lämnat på walkover är AMD på väg tillbaka i prestandasegmentet med Radeon RX Vega, som inför lanseringen demonstreras vid redigering av 8K-upplöst videoinnehåll. Läs mer

45

Windows 10 Creators Update kan aktiveras med gamla Windows-nycklar

Uppgraderingsperioden för Windows 10 är sedan länge över, men trots detta rapporterar användare att det är möjligt att aktivera nya installationer med äldre nycklar. Läs mer

55

AMD lanserar nytt Radeon Pro Duo med dubbla Polaris och 32 GB GDDR5

Kort efter introduktionen av Radeon RX 500-serien lanserar AMD ett nytt Radeon Pro Duo, med en dubbel uppsättning Polaris-grafikkretsar och hela 32 GB GDDR5. Läs mer

68

Alina Systems räddas från konkurs – köps av tidigare anställda

En grupp av tidigare anställda köper datorbutiken Alina Systems konkursbo, vilket innebär att alla butiker kommer finnas kvar och all personal får behålla sina jobb. Läs mer