近期有互联网安全研究人员表示,全球有超过 1200 万个家庭或小型公司路由器易遭劫持攻击。
处在任何地点的黑客都可以借此安全漏洞监测用户流量并获取路由器管理员权限。
此次路由器的安全漏洞的根源在于部分路由器设备所采用的嵌入式「RomPager」Web 服务(由 AllegroSoft 公司开发)。
RomPager 4.34 之前的版本存在一个重大安全漏洞,攻击者可通过该 Bug 向路由器发送包含恶意 HTTP 简单代码的 cookie 文件,即可破坏路由器的内存数据并获得设备管理员权限,导致通过路由器的纯文本流量信息暴露无余。
此外攻击者还会采取其他手段危机到用户的安全,比如更改敏感的 DNS 设置、监测控制计算机、摄像头以及其他联网的设备。
鉴于攻击黑客通过发送改造过的 cookie(字面上有曲奇饼干的含义)文件就能达到目的,全球领先的互联网安全解决方案供应商 Check Point 公司恶意软件及安全漏洞部门的研究员将此路由器上的安全漏洞命名为 Misfortune Cookie(厄运饼干)并标记为 CVE-2014-9222。