Miljontals routrar sårbara för säkerhetshålet Misfortune Cookie

Minst 12 miljoner routrar rapporteras vara sårbara för vad som kallas för Misfortune Cookie, en särskilt utformad kaka som ger fri tillgång till systemet och öppnar upp för djupare intrång i det lokala nätverk.

Det trillar ständigt in nya rapporter om säkerhetshot, vissa allvarligare än andra. Nu larmar säkerhetsföretaget Check Point om att en äldre sårbarhet fortfarande återfinns i miljontals routrar världen över och lämnar många hemnätverk öppna för angrepp. Detta eftersom routrarnas mjukvara sällan eller aldrig uppdateras.

misfortune.jpg

Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application and system state. This, in effect, can trick the attacked device to treat the current session with administrative privileges - to the misfortune of the device owner.

Sårbarheten kallas för Misfortune Cookie och berör webbservertjänsten Rompager, som ofta används för att erbjuda webbaserade administrationsgränssnitt i routrar för hemmabruk. Genom att skapa en särskilt utformad kaka kan angripare få fri tillgång till systemet och ta sig vidare till det lokala nätverket för att exempelvis plantera skadlig kod, stjäla filer eller avlyssna och manipulera trafiken.

Säkerhetshålet sägs vara särskilt allvarlig, inte minst till följd av det väldiga antalet berörda användare. Säkerhetsföretaget räknar med att cirka 200 olika routermodeller från bland annat Airlink, D-Link, Huawei, TP-Link, Zyxel och ZTE är drabbade och att det totala antalet sårbara enheter uppgår till minst 12 miljoner.

Samtidigt uppges Misfortune Cookie vara ovanligt enkel att utnyttja eftersom det inte krävs några särskilda förutsättningar eller tillstånd, något som gör det möjligt att utföra stora mängder angrepp på kort tid.

Check Point uppmanar därför alla med någon av de berörda routrarna att leta rätt på en ny version av firmware som rättar säkerhetshålet, och om det inte tillhandahålls, kontakta tillverkaren eller internetleverantören. Det är alltid en god vana att dessutom lösenordsskydda alla enheter på det lokala nätverk.

Kommentarer till artikeln

65 debattinlägg

Skicka en rättelse
37

Inför Black Friday – SweClockers guide till TV-utbudet 2018

Greppa skillnaden mellan OLED och LCD och hur tillverkarna betecknar sina modeller. SweClockers kartlägger marknadens TV-modeller inför reasäsongen 2018. Läs mer

71

Test: XFX Radeon RX 590 Fatboy – Polaris på 12 nanometer

AMD laddar om i mellanklassen genom uppdaterade grafikprocessorn Radeon RX 590. På menyn finns bland annat förfinad tillverkning och uppskruvade klockfrekvenser. Läs mer

6

Finalister vidare till Dreamhack Winter 2018 för Casemod Championship

Sju proffsmoddare av rang går vidare till finalen i Casemod Championship, som äger rum den 2 december under Dreamhack Winter 2018 på Main Stage. Läs mer

72

Ubisoft: "Lootlådor är inget dåligt – så länge de görs på rätt sätt"

Lootlådor och mikrotransaktioner har återigen hamnat på tapeten, men enligt Ubisoft kan de vara något positivt om de görs på rätt sätt. Läs mer

49

Intel fortsätter skala ned leveranser av processorer till datortillverkare

På grund av kapacitetsproblem på 14 nanometer uppges Intel fortsätta minska leveranser av processorer till tillverkare av färdigbyggda system, och problemen väntas fortsätta under 2019. Läs mer

217

Battlefield V multiplayer med ray tracing – redaktionens första intryck

Med den efterlängtade uppdateringen som aktiverar DirectX Raytracing i Battlefield V på plats passar redaktionen på att dela med sig av både första intryck och en omgång prestandasiffror. Läs mer

311

Riksdagen röstar igenom förslag om att ersätta TV-avgiften med skatt

Frågan om slopande av TV-avgiften har nu tagits upp i riksdagen, vilka röstat igenom förslaget. Detta innebär att avgiften ersätts med en skatt från och med 1 januari 2019. Läs mer

I samarbete med Komplett
7

Intervju: Johan "C4B12" Nyman bygger små datorer till Dreamhack

En liten dator kan vara minst lika intressant som en stor. Vi fångade datormoddaren och forumprofilen Johan Nyman för en pratstund om Dreamhack och byggandet av små datorer. Läs mer

58

Command & Conquer: Tiberian Dawn och Red Alert blir nyutgåvor

När det är dags för remaster av Command & Conquer sparar inte Electronic Arts på krutet. Först ut är två tunga klassiker som garanterat får nostalginerverna att rycka hos många. Läs mer

124

Test: Battlefield V multiplayer i DirectX 11 och DirectX 12

Battlefield V är här, och SweClockers har kämpat runt på slagfältet med tio olika grafikkort. Häng med för att se vad som krävs under huven! Läs mer

5

MSI Geforce RTX 2070 Aero ITX hittar ut på webben – Geforce RTX 2070 i krympt format

Under förra året släppte MSI flera modeller ur Geforce GTX 1000-serien i Mini ITX-format, och nu hittar ett Geforce RTX 2070 i samma utförande ut på webben. Läs mer