Misfortune Cookie (biscotto della sfortuna) vulnerability

Published by Lello on

Alcuni ricercatori provenienti da Check Point Malware e Vulnerability Research Group hanno scoperto una nuova vulnerabilità critica presente su milioni di router installati per la maggior parte a casa o piccoli uffici (SOHO router), dispositivi di diversi marche e modelli e accessori. A questa vulnerabilità è stata assegnata l’identificatore CVE-2014-9222, ribattezzata come biscotto della sfortuna.

Grazie a questa grave vulnerabilità, un utente malintenzionato di potrebbe assumere il controllo remoto del vostro dispositivo con privilegi amministrativi.

In questo istante si pensa che circa 12 milioni di router in tutto il mondo siano affetti da questa vulnerabilità, anche se si pensa che il numero di sistemi affetti sia molto più grande.

Chiaramente, se il router è vulnerabile, lo è anche qualunque dispositivo connesso alla sua rete (computer, telefoni, tablet, stampanti, telecamere di sicurezza, …). Un utente malintenzionato potrebbe sfruttare la vulnerabilità Misfortune per monitorare la connessione a Internet, rubare le vostre credenziali e dati personali o aziendali tramite attacchi di tipo man-in-the-middle, tentare di infettare le macchine con del malware.

L’unico rimedio contro questo malware è ottenere dalla costruttore del vostro router un firmware privo di tale vulnerabilità oppure, ove possibile, flashare un firmware alternativo che ne elimini la vulnerabilità.

La vulnerabilità Misfortune Cookie è dovuta ad un errore nel meccanismo di gestione dei cookie HTTP presente nei router e che permette ad un attaccante di determinare la ‘fortuna’ di una richiesta manipolando i cookie. Gli aggressori possono inviare cookie HTTP appositamente predisposto per ingannare il dispositivo attaccato e trattare la sessione corrente come sessione con privilegi amministrativi.

I dispositivi affetti da tale bug sono circa 200; qui potete trovare la lista completa.

Non esiste un modo pratico per testare la vulnerabilità; l’unico modo è controllare i file di log e vedere se qualche settaggio del vostro router è stato modificato.

AllegroSoft (la casa che produce RomPager, il web server installato nei router) ha emesso un bugfix per risolvere la vulnerabilità nel 2005 e tale bugfix è stato rilasciato ai costruttori di router. In realtà non tutti i produttori hanno applicato la patch ed inoltre non tutti gli utenti hanno aggiornato il firmware del loro router all’ultima versione disponibile (considerando che stiamo parlando di dispositivi SoHo. Per questo motivo si trovano nel mondo questi milioni di router vulnerabili.