La firma de seguridad informática Check Point informa sobre una longeva vulnerabilidad crítica que afecta a 12 millones de routers residenciales (SOHO) de varios fabricantes. Bautizado como "Misfortune Cookie" (galleta del infortunio), el problema permite a un atacante acceder de forma remota a una red doméstica o de oficina con privilegios de administrador.
El agujero de seguridad reside en el motor HTTP RomPager a cargo de AllegroSoft que se utiliza en al menos 200 modelos de router. Según Check Point, la lista de afectados incluye dispositivos de D-Link, Edimax, Huawei, TP-Link, ZTE y ZyXEL, entre otros.
Misfortune Cookie utiliza un error en la gestión de cookies en RomPager (v4.34 y anteriores) para determinar el destino de cada solicitud HTTP a través de la manipulación de cookies. "Esto, en efecto, puede engañar al dispositivo atacado para que trate la sesión en curso con privilegios de administrador", explica la compañía en una nota.
Check Point señala que AllegroSoft lanzó un parche para RomPager en 2005, pero su propagación es extremadamente lenta (o inexistente) debido a la naturaleza de los dispositivos. La empresa de seguridad afirma que muchos modelos todavía se comercializan actualmente con versiones vulnerables.
Uno de los problemas a la hora de solucionar la vulnerabilidad es que RomPager está integrado dentro del firmware de los routers. Esto implica que cada fabricante deberá actualizar el componente de software en su propio firmware y que examinar la versión del sistema no es un indicador fiable para detectar la vulnerabilidad.
Aunque Check Point no ha certificado ningún ataque por esta vía, su informe advierte el compromiso potencial para cualquier aparato conectado a una red local. "Esto se debería considerar un aviso radical para la industria de dispositivos integrados y para los consumidores. […] Se deberían ofrecer actualizaciones de software automáticas seguras para todos los dispositivos modernos, sino como una opción por defecto".
