Miljontals routrar sårbara för säkerhetshålet Misfortune Cookie

Minst 12 miljoner routrar rapporteras vara sårbara för vad som kallas för Misfortune Cookie, en särskilt utformad kaka som ger fri tillgång till systemet och öppnar upp för djupare intrång i det lokala nätverk.

Det trillar ständigt in nya rapporter om säkerhetshot, vissa allvarligare än andra. Nu larmar säkerhetsföretaget Check Point om att en äldre sårbarhet fortfarande återfinns i miljontals routrar världen över och lämnar många hemnätverk öppna för angrepp. Detta eftersom routrarnas mjukvara sällan eller aldrig uppdateras.

misfortune.jpg

Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application and system state. This, in effect, can trick the attacked device to treat the current session with administrative privileges - to the misfortune of the device owner.

Sårbarheten kallas för Misfortune Cookie och berör webbservertjänsten Rompager, som ofta används för att erbjuda webbaserade administrationsgränssnitt i routrar för hemmabruk. Genom att skapa en särskilt utformad kaka kan angripare få fri tillgång till systemet och ta sig vidare till det lokala nätverket för att exempelvis plantera skadlig kod, stjäla filer eller avlyssna och manipulera trafiken.

Säkerhetshålet sägs vara särskilt allvarlig, inte minst till följd av det väldiga antalet berörda användare. Säkerhetsföretaget räknar med att cirka 200 olika routermodeller från bland annat Airlink, D-Link, Huawei, TP-Link, Zyxel och ZTE är drabbade och att det totala antalet sårbara enheter uppgår till minst 12 miljoner.

Samtidigt uppges Misfortune Cookie vara ovanligt enkel att utnyttja eftersom det inte krävs några särskilda förutsättningar eller tillstånd, något som gör det möjligt att utföra stora mängder angrepp på kort tid.

Check Point uppmanar därför alla med någon av de berörda routrarna att leta rätt på en ny version av firmware som rättar säkerhetshålet, och om det inte tillhandahålls, kontakta tillverkaren eller internetleverantören. Det är alltid en god vana att dessutom lösenordsskydda alla enheter på det lokala nätverk.

Kommentarer till artikeln

65 debattinlägg

Skicka en rättelse
39

Asus ROG Swift PG27UQ: Stora kompromisser vid 144 Hz i 4K-upplösning

I praktiken är det 4K i 120 Hz som gäller för Asus PG27UQ. SweClockers går igenom den komplexa situationen med bandbredd, subsampling och mitt i allt ett fel som gör bilden för mörk. Läs mer

75

SweClockers guide till datorlådor

Går du i uppgraderingstankar efter alla chassinyheter som presenterades på Computex? Missa då inte SweClockers guide till datorlådor, där allt från formfaktorer till funktioner gås igenom. Läs mer

78

AMD Ryzen Threadripper 2990X presterar dubbelt upp mot Threadripper 1950X

I kamp om prestandatronen gör AMD Ryzen Threadripper med 32 kärnor, som enligt uppgift får namnet Threadripper 2990X. Den testas dessutom i Cinebench med imponerande resultat. Läs mer

25

Playerunknown's Battlegrounds har sålts i 50 miljoner exemplar

Lite mer än ett år efter den ursprungliga lanseringen har Playerunknown's Battlegrounds sålts i 50 miljoner exemplar, något som utvecklarna firar med en temporär prissänkning. Läs mer

109

EU-utskott röstar ja till hårdare upphovsrättsregler på webben

Efter en omröstning går nu Europaparlamentets juridiska utskott vidare med Artikel 13. Denna kan dock fortfarande stoppas om den röstas ned i Europarlamentets plenum den 2–5 juli. Läs mer

26

Hårda ord om Intels marknadsföring skapade diskussion under Computex 2018

Årets jättemässa i Taiwan har sedan länge slagit igen portarna. En blick i backspegeln visar att två nyheter skapade extra mycket diskussion – båda om Intels 28-kärniga processor. Läs mer

85

EU röstar om upphovsrättslagen Artikel 13 – automatisk avläsning av uppladdat innehåll

I strävan att blidka upphovsrättsinnehavare röstar idag ett av Europaparlamentets juridiska utskott om Artikel 13, som kraftigt skulle begränsa möjligheten att ladda upp innehåll med upphovsrätt. Läs mer

107

Intervju från arkivet: Sven Rollenhagen – specialist på datorspelsberoende

WHO vill klassa dataspelsberoende som en sjukdom, vilket ger bränsle till debatten om huruvida för mycket gaming är skadligt. Under 2014 intervjuade SweClockers Sven Rollenhagen i ämnet, och svaren är lika aktuella idag. Läs mer

I samarbete med Phanteks
30

Rösta fram snyggaste RGB-bygget i Phanteks tävling

Fem medlemmar är i final i Phanteks RGB-inspirerade tävling och nu är det upp till SweClockers läsare att rösta fram bidraget som vinner ett presentkort på 5 000 kronor hos Webhallen. Läs mer

16

Jonas sammanfattar chassinyheterna från Computex 2018

Årets Computex-mässa bjöd likt tidigare upplagor på en uppsjö av nya chassimodeller. Då dessa lätt drunknar i flödet passar Jonas på att sammanfatta modellerna som redaktionen kikade på. Läs mer

1

Galleriet: Bilder från Dreamhack Summer 2018

Spana in galleriet från årets stora LAN-fest Dreamhack, som bjöd på spelturneringar, moddningstävlingar och ett överflöd av Billys pan pizza. Läs mer

6

Samsung vill utveckla egna grafikkretsar för mobiltelefoner

Precis som Apple före dem ska Samsung börja utveckla egna grafikprocessorer, vilka ska användas i billigare mobiltelefoner samt självkörande fordon. Läs mer