Un grupo de investigadores de seguridad de Check Point ha descubierto una nueva vulnerabilidad crítica en diferentes equipos router residenciales (router ADSL típico instalado en viviendas).
La han bautizado como MisFortune Cookie (galleta de la desgracia) con su propio logotipo, y está identificada con el código CVE-2014-9222.
Este fallo permitiría a un atacante remoto tomar el control del dispositivo con privilegios de administrador. Hasta el momento, según el estudio se han detectado unos 12 millones de equipos explotables repartidos por todo el mundo.
La vulnerabilidad se debe a un fallo en el mecanismo de gestión de cookies de sesión (de ahí el nombre). Un usuario podría enviar una petición que contenga una cookie especialmente diseñada para explotar la vulnerabilidad y que permite modificar ciertos parámetros de la memoria y la fecha del sistema, provocando que el router acepte la sesión y otorgue privilegios de administración.
Parece ser que el software afectado es el servidor web embebido RomPager de AllegroSoft, el cual está presente en la mayoría de este tipo de dispositivos.
El mayor problema reside en que una vez comprometido el router, aumenta de forma considerable el riesgo de que cualquier dispositivo conectado a él, ya sean PCs, móviles, tablets, etc, sea atacado igualmente aún pensado que está seguro en nuestra red interna.
La solución pasaría por esperar a que el fabricante de cada
router publique un parche/actualización de firmware o instalarte tu propia distribución
open-source como
Open-WRT o similares en las que tú tienes el control total de tu
router.
La lista de equipos
router afectados la podéis encontrar en este
PDF.