CheckPoint發現,家用路由器中所經常使用的一款嵌入式網頁伺服器RomPager含有重大漏洞,可能導致1200萬台裝置的使用者受駭。

CheckPoint將這個CVE-2014-9222漏洞命名為「不幸小餅干」(Misfortune Cookie),因為受影響軟體的HTTP cookie管理機制有一項錯誤,使攻擊者可以發送經過改造的HTTP cookies攻擊該漏洞,並毁損記憶體、變更應用的狀態,進而遠端取得管理員權限,導致裝置使用者的不幸。在侵入閘道之後,即可使LAN環境下的裝置面臨中間人攻擊(man-in-the-middle)的風險,安裝惡意程式或是永久改變其設定。

如果網路閘道器或SOHO路由器有這項漏洞,任何與之連結的連網裝置,包括電腦、電話、平板、印表機、NAS、監控攝影機、甚至冰箱、烤麵包機都有被入侵的風險,並用於監控使用者上網、竊取帳號密碼,及個人或公司資料。

如果遭到攻擊,一般沒有任何紀錄(log)或跡象可循,可能的線索是無法登入web介面或找不到裝置的設定變更。

CheckPoint表示,問題可能源自於包含4.34版以前的RomPager有漏洞(特別是4.07版)。RomPager是Allegro公司出的嵌入式web server,一般是隨著韌體出貨,可能是全世界使用最廣泛的web server軟體。

安全人員表示,漏洞是在2002年加入程式碼中,Allegro在2005年即修復,但由於家用路由器這類裝置的修補周期很慢,甚至不太可能更新,因此到現在還有產品包含有問題的韌體出貨。但安全公司也指出,某些廠商的韌體可能已經更新、修補了Misfortune Cookie但未改變顯示的版本編號。

安全人員在不同廠商及機種的家用及中小企業用產品上發現到這個漏洞,包括友訊(D-Link)、Edimax、華為(Huawei)、TP-Link、中興(ZTE)、合勤(ZyXEL)等共至少200款不同機種。安全人員懷疑,是因為這些產品包含了一個有漏洞的通用晶片組SDK,不過該公司目前還未能證實這點。

雖然Checkpoint還未發現針對Misfortune Cookie的攻擊,但相信這個漏洞已被掌握且被用來暗中行動許久。根據其可能受害數量之廣及發現難度之高,安全公司認為事態嚴重。研究人員推測可能遭到影響的連網裝置高達1200萬台。

安全人員建議消費者及中小企業安裝防火牆,而且有重要資訊的文件、裝置或資料匣應設密碼防護。技術人員則應儘速升級韌體,或是現有閘道之外,再加裝第二台網路安全裝置,像是IPS等。(編譯/林妍溱)


Advertisement

更多 iThome相關內容