Domácí routery obchází nový strašák: chyba Misfortune Cookie

Dvanáct let stará softwarová chyba podle bezpečnostní firmy Check Point ohrožuje i dnes několik milionů routerů. Důkazy o tom, že by ji někdo zneužil, ale nejsou.

Můžete to brát jako varování před další bezpečnostní dírou v domácích routerech, se kterou stejně sami nic neuděláte. A nebo jako předvánoční PR jedné bezpečnostní firmy. 

Izraelský Check Point oznámil, že v routerech objevil chybu, poeticky nazvanou Misfortune Cookie, která umožňuje útočníkům získat administrátorská práva a převzít nad zařízením kontrolu. Důsledkem může být podle firmy odposlouchávání internetového provozu či instalace malwaru. Žádná konkrétní zneužití chyby prý ale zatím společnost nezaznamenala.

Problém vězí v servisním softwaru RomPager, který je nainstalován v routerech řady výrobců. Chyba v tom, jak zachází s HTTP cookies, podle Check Pointu umožňuje útočníkům po zaslání speciálně upravených HTTP cookies získat správcovská práva u konkrétních sessions. 

Zarážející na tom je, že podle Check Pointu překvapivé množství poskytovatelů pro komunikaci s routery stále používá nešifrované spojení. 

Děravé routery

Jde přitom o chybu, která je známá nejméně od roku 2002 a výrobce RomPageru, firma AllegroSoft, ji podle svého vyjádření v roce 2005 opravila. Jenže: jak serveru Re/code přiznal zástupce společnosti, řada klientů (výrobců routerů) se zřejmě neobtěžovala opravenou verzi nainstalovat. Podle Check Pointu je tak i dnes ve světě teoreticky ohroženo na 12 milionů zařízení (tady je seznam potenciálně napadnutelných modelů). 

CIF16

Celá kauza kolem Misfortune Cookie se tak dá brát jako připomenutí dlouho známé pravdy: domácí routery jsou děravé jako řešeto a chyb podobného typu zřejmě obsahují mnohem více. A dozvíme se o nich až ve chvíli, kdy si další bezpečnostní firma bude chtít zařídit bezplatné PR.

Jako uživatel se přitom proti podobným chybám v podstatě nemůžete bránit – kromě toho, že se snažíte mít nainstalovanou nejnovější verzi firmwaru (ovšem ruku na srdce, kdo z domácích uživatelů pravidelně kontroluje, zda je jeho domácí router updatovaný?). Nebo toho, že se odpojíte od internetu.

24 názorů Vstoupit do diskuse
poslední názor přidán 30. 12. 2014 11:05

Školení web copywritingu

  •  
    Jak strukturovat text na webové stránce.
  • Tajemství atraktivního a úderného titulku.
  • Optimalizace webového textu pro vyhledávače.

Detailní informace o školení psaní pro web »