Опасная уязвимость Misfortune Cookie может поразить миллионы домашних маршрутизаторов

Компания Check Point Software Technologies обнаружила критическую уязвимость Misfortune Cookie, способную поразить десятки миллионов домашних маршрутизаторов во всем мире. Брешь CVE-2014-9222 позволяет злоумышленникам получить контроль над сетевыми устройствами и административные привилегии, после чего осуществить атаки на все устройства в домашней сети.

Уязвимость существует из-за ошибки в механизме управления cookie-файлами в протоколе HTTP. Удаленный пользователь может с помощью специально сформированного cookie-файла вызвать повреждение памяти и получить административные привилегии и полный контроль над устройством.

Брешь затрагивает более 200 моделей маршрутизаторов от D-Link, Edimax, Huawei, TP-Link, ZTE, ZyXEL и прочих производителей. На момент проведения исследования эксперты обнаружили как минимум 12 млн уязвимых сетевых устройств по всему миру. Исследователи считают, что уязвимость вызвана ошибкой во встроенном web-сервере RomPager.

Разработчики RomPager исправили брешь еще в 2005 году, но производители маршрутизаторов в большинстве случаев не включили исправление в обновленные версии прошивок. Исследователи рекомендуют подключить межсетевой экран или использовать уязвимое устройство в качестве моста между домашней сетью и защищенным маршрутизатором, принимающим сигналы из интернета. Продвинутые пользователи могут установить модифицированные версии прошивок со встроенным исправлением.