12 millioner hjem og hjemmekontor utsatt

Misfortune Cookie kan overta ruteren din fordi en del ruterprodusenter slurver med sikkerhetsoppdateringer.

Sikkerhetseksperter hos Check Point Software Technologies slår nå alarm etter å ha oppdaget en alvorlig trussel mot trådløse nettverk. Det er først og fremst privatboliger og hjemmekontor som er truet, i tillegg til et mindre antall småbedrifter.

Misfortune Cookie er navnet på sikkerhetssvakheten som kjører på ruterne. Misfortune Cookie har nå har spredt seg til minst 12 millioner enheter i 189 land, ifølge Check Points spesialgruppe for studier av ondsinnet programvare – Malware and Vulnerability Research Group.

Sikkerhetssvakheten kan brukes til å ta ned ruteren, overta styringen over ruteren eller installere noe på ruteren.

– Norge ser ikke ut til å være spesielt sterkt berørt, men det er alvorlig at det har tatt så lange tid å få rullet ut fiksene for en trussel som har vært kjent så lenge, sier sikkerhetsingeniør Arnfinn Strand i den norske avdelingen av Check Point til PC World.

Sårbarheten ble lagt inn som en administrasjonsprotokoll i kodebasen allerede i 2002, og trusselen ble oppdaget og feilfiks ble gjort tilgjengelig tre år senere.

Men den dag i dag er det fortsatt mange rutere i drift med sårbarhet i fastvaren. Én ting er at brukerne selv ikke har vært flinke til å oppdatere firmware-oppdateringen, men også blant ruterprodusentene går utrullingen av sikkerhetsfiksen langsomt.

Check Point observerte at Misfortune Cookie-trusselen fortsatt var stor mange steder under sin kontinuerlige jakt på sikkerhetssvakheter. Ruterprodusentene er blitt varslet av Check Point og har nå fått god tid på seg til å gjennomføre sikkerhetsutbedringene.

Men det går langsomt, og en del har fortsatt ikke reagert. Check Point går derfor ut offentlig med informasjon om trusselen i disse dager, i håp om at økt oppmerksomhet i media og blant brukerne vil bidra til å øke presset på etternølerne i bransjen.

Kan overta styring av boligen

Misfortune Cookie er blitt gitt identifikatornavnet CVE-2014-9222.

Hvis informasjonskapselen får drive sitt spill uoppdaget, kan den brukes av en angriper til å overta kontrollen over millioner av rutere verden rundt og bruke ruterne til å stjele data fra både trådløse og kablede enheter knyttet opp mot ruterne.

Ikke bare det – Misfortune Cookie kan også brukes til rett og slett å overta styring av boliger der man har tatt i bruk systemer som styrer lys, varme og mye annet i boligen.

Programvaren som rammes, er RomPager fra AllegroSoft. Dette er webserver-programvare som vanligvis er innebygd i fastvaren i rutere fra mange produsenter. Check Point antar dette er verdens mest utbredte webserver-programvare i forhold til antall endepunkter.

Ifølge Check Point kan den ondsinnede programvaren brukes mot alle slags enheter som er knyttet opp mot ruteren, det være seg pc-er, mobiler, nettbrett, skrivere, sikkerhetskameraer og til og med kjøleskap, brødristere og andre enheter som er knyttet til en del hjemmenettverk i våre dager.

En angriper som utnytter sårbarheten som Misfortune Cookie representerer, kan lett overvåke internettforbindelser, stjele passord og påloggingsdata og både personlige data og bedriftsdata.

Og hos noen kan resultatet altså bli sortbrente brødskiver fra brødristeren.

Mottiltak

På spørsmål om hvordan man skal beskyttes seg mot Misfortune Cookie, svarer Check Point at det viktigste er å være smart i håndteringen av viktige data.

Alle mapper og dokumenter med sensitiv informasjon må være passordbeskyttet, heter det. Man øker dessuten nettsikkerheten ved å bruke HTTPS-forbindelser i nettleseren.

Sjekk også om det er kommet firmvare-oppdateringer fra ruterleverandøren og last ned fastvare-oppdateringene så fort som mulig, heter det i Check Point-dokumentet som gir gode råde om hvordan man kan beskytte seg mot Misfortune Cookie.

Mer teknologi-kyndige brukere kan hente ned alternativ firmware til ruteren, men dette kan vel å merke medføre at garantien ikke gjelder lenger.

En annen mulighet er å konfigurere den nåværende ruteren som en broforbindelse og ta i bruk en sikker nummer to-enhet som gateway til internett.

Ellers gjelder det å ha oppdatert brannmur, oppdatert antivirus-programvare og et mest mulig oppdatert operativsystem, heter det.

Unik trussel

Check Point beskriver Misfortune Cookie som en unik trussel fordi informasjonskapselen kombinerer flere faktorer. Den representerer en alvorlig trussel fordi den er lett å utnytte til ondsinnet virksomhet og fordi man ikke har vært nødt til å sette opp systemet sitt på noen som helst risikabel måte for å kunne bli utsatt for fare.

Alt en angriper trenger for å utnytte Misfortune Cookie, er å sende én enkelt pakke til din IP-adresse. Det trengs ingen spesielle hacker-verktøy, bare en vanlig moderne nettleser.

I enkelte land har Check Point funnet ut at mellom 10 og 50 prosent av IP-adressene er sårbare for angrep ved hjelp av Misfortune Cookie.

Kjente ruter-merker

Ifølge Check Point er det minst 200 forskjellige ruter-modeller som er i Misfortune Cookie-faresonen. Listen omfatter modeller fra blant andre D-Link, Edimax, Huawei, TP-Link, ZTE og ZyXEL, med andre ord mange av de mest kjente rutermerkene på markedet.

Det er særlig firmware-oppdateringene av RomPager fra versjonene før 4.34 som er sårbare - spesielt versjon 4.07, heter det.

– Merk at noen av leverandørenes firmware-oppdateringer patcher RomPager til å stanse Misfortune Cookie-trusselen uten å endre versjonsnummeret, noe som gjør det vanskeligere å bruke dette som en sårbarhetsindikator, skriver Check Point.

Ingen angrep bevist

Det er ikke funnet bevis for at noen angripere har utnyttet Misfortune Cookie ennå, men Check Point har mistanke om at enkelte angrep mot småbedrifter i senere år kan ha noe med saken å gjøre.

Teknisk sett har AllegroSoft altså fjernet trusselen for lenge siden. Allerede i 2005 kom firmaet med en firmware-oppdatering som skulle løse problemet.

Men en del av ruterleverandørene følger altså dårlig opp. Frekvensen for utsendelse av ny firmware i rutermarkedet er utrolig langsom, og hos noen leverandører blir det aldri lagt ut ny firmware. Mange av ruterne som selges den dag i dag, har utdatert firmware og er derfor sårbare, heter det.

Ifølge Check Point representerer Misfortune Cookie ingen trussel mot Check Points egne produkter.