Bộ định tuyến thường là thiết bị liên lạc cuối cùng trong mạng, kết nối toàn bộ mạng với mạng bên ngoài và Internet. Nếu router bị tổn hại bằng cách nào đó, nó rất dễ dàng để thỏa hiệp tất cả các thiết bị - máy tính, máy in, máy quét và thậm chí cả điện thoại thông minh - kết nối với nó. Các Cookie bất hạnh đã làm cho khoảng 12 triệu router bị tổn thương, ở 189 quốc gia, kể từ năm 2005 và vá nó là một quá trình khó khăn, vì có rất nhiều nhà sản xuất tham gia. Bài viết này giải thích hội chứng cookie bất hạnh là gì và sau đó biên soạn danh sách các thương hiệu bộ định tuyến bị ảnh hưởng.
Lỗ hổng Misfortune Cookie là gì
Theo CheckPoint,
“Misfortune cookie vulnerability is a critical vulnerability that allows a cyber criminal to take over a gateway remotely and use it to compromise all devices interconnected to that gateway.”
Hơn nữa, các nhà nghiên cứu Checkpoint nói rằng lỗ hổng có mặt trên hàng triệu thiết bị trên toàn thế giới - từ các nhà sản xuất khác nhau và từ các thương hiệu khác nhau. Cookie bất hạnh cho phép bất kỳ kẻ xâm nhập nào xâm nhập vào bất kỳ mạng nào dễ dàng bằng cách sử dụng lỗ hổng bảo mật. Nó cũng nói rằng khai thác đã có sẵn trong Internet sâu và mọi người đang tích cực sử dụng chúng cho lợi ích riêng của họ.
Cho đến nay hơn 12 triệu thiết bị đã được phát hiện là mang lỗ hổng này!
Tại sao đặt tên cho nó là Cookie không may
Nói một cách đơn giản, vì lỗ hổng này dựa trên một cookie HTTP và mang lại sự bất hạnh cho chủ sở hữu thiết bị, nó được đặt tên là Cookie bất hạnh trong các dòng cookie tài sản.
Để kỹ thuật hơn, Cookie bất hạnh là do lỗi trong cơ chế quản lý cookie HTTP trong phần mềm bộ định tuyến / cổng. Điều này cho phép bọn tội phạm xác định tính dễ bị tổn thương của yêu cầu kết nối bằng cách gửi các cookie khác nhau tới cổng hoặc bộ định tuyến. Trong hầu hết các mạng, router là gateway và do đó Checkpoint sử dụng từ “gateway”.
“Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application state. This, in effect, can trick the attacked device to treat the current session with administrative privileges – to the misfortune of the device owner.”
Router của bạn có bị ảnh hưởng bởi Misfortune Cookie không?
Cookie Misfortune đã ảnh hưởng đến nhiều bộ định tuyến hoặc các loại cổng khác chứa một loại phần mềm nhất định. Phần mềm này, Rompager từ AllegroSoft, được sử dụng bởi các nhà sản xuất khác nhau trong việc xây dựng các bộ định tuyến và do đó các thiết bị dễ bị tổn thương được lan truyền trên toàn thế giới. Rompager được nhúng vào phần vững của bộ định tuyến. Lỗ hổng này đã có mặt từ năm 2005 và mặc dù các bản vá lỗi của Allegrosoft, nhiều thiết bị vẫn dễ bị tổn thương vì mọi người (người dùng) không biết về lỗ hổng này.
Bạn đã bị xâm nhập nếu bạn không thể truy cập trang cấu hình của bộ định tuyến. Không có phương pháp khác để xác định nếu bạn đã bị ảnh hưởng. Để biết liệu bạn có dễ bị tổn thương hay không, hãy xem danh sách Thiết bị dễ bị tổn thương Cookie bất hạnh, đến cuối bài đăng này.
Bảo vệ và phòng chống Cookie bất hạnh
Không có nhiều bạn có thể làm một mình. Bạn phải yêu cầu nhà cung cấp của bạn cho một bản vá và sau đó flash firmware của bạn với phần vững được vá. Tuy nhiên, điều này không thực tế lắm vì nhiều nhà cung cấp chưa tạo bản vá, mặc dù lỗ hổng có mặt từ năm 2005 hoặc trước đó.
Điểm kiểm tra yêu cầu bạn sử dụng tường lửa đặc biệt tốt có thể làm giảm cơ hội bị xâm phạm của bạn. Tuy nhiên, tôi không hiểu tường lửa sẽ ngăn chặn kẻ xâm nhập như thế nào nếu người đó đã xâm phạm cổng mạng (bộ định tuyến) của bạn.
Trong ngắn hạn, bạn phải chờ đợi lâu hơn một chút để có được một bản vá từ nhà cung cấp của bạn. Mặc dù Allegrosoft đã ban hành cả hai tư vấn bảo mật và bản vá, các nhà cung cấp đã được vận chuyển các thiết bị dễ bị tổn thương. Đây là một vấn đề nghiêm trọng khi bạn phải đợi cho đến khi các nhà cung cấp phát hành bản vá cho khách hàng của mình.
Danh sách các thiết bị dễ bị tổn thương Cookie
| 110TC2 | Beetel | BW554 | SBS |
| 16NX073012001 | Nilox | C300APRA2 + | Conceptronic |
| 16NX080112001 | Nilox | Bộ định tuyến ADSL2 + nhỏ gọn | gọn nhẹ |
| 16NX080112002 | Nilox | D-5546 | den-it |
| 16NX081412001 | Nilox | D-7704G | den-it |
| 16NX081812001 | Nilox | Viễn thông Delsa | Delsa |
| 410TC1 | Beetel | D-Link_DSL-2730R | D-Link |
| 450TC1 | Beetel | DM 856W | Binatone |
| 450TC2 | Beetel | DSL-2110W | D-Link |
| 480TC1 | Beetel | DSL-2120 | D-Link |
| AAM6000EV / Z2 | Zyxel | DSL-2140 | D-Link |
| AAM6010EV | Zyxel | DSL-2140W | D-Link |
| AAM6010EV / Z2 | Zyxel | DSL-2520U | D-Link |
| AAM6010EV-Z2 | Zyxel | DSL-2520U_Z2 | D-Link |
| AAM6020BI | Zyxel | DSL-2600U | D-Link |
| AAM6020BI-Z2 | Zyxel | DSL-2640R | D-Link |
| AAM6020VI / Z2 | Zyxel | DSL-2641R | D-Link |
| AD3000W | starnet | DSL-2680 | D-Link |
| Modem ADSL | không xác định | DSL-2740R | D-Link |
| Modem ADSL / Router | không xác định | DSL-320B | D-Link |
| Bộ định tuyến ADSL | BSNL | DSL-321B | D-Link |
| AirLive ARM201 | AirLive | DSL-3680 | D-Link |
| AirLive ARM-204 | AirLive | ĐT 815 | Binatone |
| AirLive ARM-204 Phụ lục A | AirLive | DT 820 | Binatone |
| AirLive ARM-204 Phụ lục B | AirLive | DT 845W | Binatone |
| AirLive WT-2000ARM | AirLive | DT 850W | Binatone |
| AirLive WT-2000ARM Phụ lục A | AirLive | Modem ADSL DWR-TC14 | không xác định |
| AirLive WT-2000ARM Phụ lục B | AirLive | EchoLife HG520s | Huawei |
| AMG1001-T10A | Zyxel | EchoLife Home Gateway | Huawei |
| APPADSL2 + | Khoảng | EchoLife Portal de Inicio | Huawei |
| APPADSL2V1 | Khoảng | GO-DSL-N151 | D-Link |
| AR-7182WnA | Edimax | HB-150N | Hexabyte |
| AR-7182WnB | Edimax | HB-ADSL-150N | Hexabyte |
| AR-7186WnA / B | Edimax | Hexabyte ADSL | Hexabyte |
| AR-7286WNA | Edimax | Trang chủ | Huawei |
| AR-7286WnB | Edimax | iB-LR6111A | bóng tôi |
| Modem 100 Modem của Arcor-DSL 100 | Arcor | iB-WR6111A | bóng tôi |
| Arcor-DSL WLAN-Modem 200 | Arcor | iB-WR7011A | bóng tôi |
| AZ-D140W | Azmoon | iB-WRA150N | bóng tôi |
| Billion Sky | Tỷ | iB-WRA300N | bóng tôi |
| BiPAC 5102C | Tỷ | iB-WRA300N3G | bóng tôi |
| BiPAC 5102S | Tỷ | IES1248-51 | Zyxel |
| BiPAC 5200S | Tỷ | KN.3N | Kraun |
| Bộ định tuyến ADSL BIPAC-5100 | Tỷ | KN.4N | Kraun |
| BLR-TX4L | trâu | KR.KQ | Kraun |
| KR.KS | Kraun | POSTEF-8840 | Postef |
| KR.XL | Kraun | POSTEF-8880 | Postef |
| KR.XM | Kraun | Prestige 623ME-T1 | Zyxel |
| KR.XM t | Kraun | Uy tín 623ME-T3 | Zyxel |
| KR.YL | Kraun | Prestige 623R-A1 | Zyxel |
| Linksys BEFDSR41W | Linksys | Prestige 623R-T1 | Zyxel |
| LW-WAR2 | Sóng ánh sáng | Prestige 623R-T3 | Zyxel |
| M-101A | ZTE | Prestige 645 | Zyxel |
| M-101B | ZTE | Prestige 645R-A1 | Zyxel |
| M-200 A | ZTE | Prestige 650 | Zyxel |
| M-200 B | ZTE | Uy tín 650H / HW-31 | Zyxel |
| MN-WR542T | thủy ngân | Uy tín 650H / HW-33 | Zyxel |
| MS8-8817 | SendTel | Uy tín 650H-17 | Zyxel |
| Bộ định tuyến ADSL MT800u-T | BSNL | Uy tín 650H-E1 | Zyxel |
| Bộ định tuyến ADSL MT880r-T | BSNL | Uy tín 650H-E3 | Zyxel |
| Bộ định tuyến ADSL MT882r-T | BSNL | Uy tín 650H-E7 | Zyxel |
| MT886 | SmartAX | Uy tín 650HW-11 | Zyxel |
| mtnlbroadband | MTNL | Uy tín 650HW-13 | Zyxel |
| NetBox NX2-R150 | Nilox | Uy tín 650HW-31 | Zyxel |
| Netcomm NB14 | Netcomm | Uy tín 650HW-33 | Zyxel |
| Netcomm NB14Wn | Netcomm | Uy tín 650HW-37 | Zyxel |
| NP-BBRsx | Iodata | Prestige 650R-11 | Zyxel |
| OMNI ADSL LAN EE (Phụ lục A) | Zyxel | Prestige 650R-13 | Zyxel |
| P202H DSS1 | Zyxel | Prestige 650R-31 | Zyxel |
| P653HWI-11 | Zyxel | Prestige 650R-33 | Zyxel |
| P653HWI-13 | Zyxel | Uy tín 650R-E1 | Zyxel |
| P-660H-D1 | Zyxel | Prestige 650R-E3 | Zyxel |
| P-660H-T1 v3s | Zyxel | Uy tín 650R-T3 | Zyxel |
| P-660H-T3 v3s | Zyxel | Uy tín 652H / HW-31 | Zyxel |
| P-660HW-D1 | Zyxel | Uy tín 652H / HW-33 | Zyxel |
| P-660R-D1 | Zyxel | Uy tín 652H / HW-37 | Zyxel |
| P-660R-T1 | Zyxel | Uy tín 652R-11 | Zyxel |
| P-660R-T1 v3 | Zyxel | Uy tín 652R-13 | Zyxel |
| P-660R-T1 v3s | Zyxel | Uy tín 660H-61 | Zyxel |
| P-660R-T3 v3 | Zyxel | Uy tín 660HW-61 | Zyxel |
| P-660R-T3 v3s | Zyxel | Uy tín 660HW-67 | Zyxel |
| P-660RU-T1 | Zyxel | Uy tín 660R-61 | Zyxel |
| P-660RU-T1 v3 | Zyxel | Uy tín 660R-61C | Zyxel |
| P-660RU-T1 v3s | Zyxel | Uy tín 660R-63 | Zyxel |
| P-660RU-T3 v3s | Zyxel | Uy tín 660R-63/67 | Zyxel |
| PA-R11T | Solwise | Prestige 791R | Zyxel |
| PA-W40T-54G | PreWare | Uy tín 792H | Zyxel |
| Cerberus P 6311-072 | Ngôi sao năm cánh | RAWRB1001 | Kết nối lại |
| PL-DSL1 | PreWare | RE033 | Roteador |
| PN-54WADSL2 | ProNet | RTA7020 Router | Maxnet |
| PN-ADSL101E | ProNet | RWS54 | Connectionnc |
| Portal de Inicio | Huawei | SG-1250 | Everest |
| SG-1500 | Everest | TD-W8901G 3.0 | TP-Link | |
| SmartAX | SmartAX | TD-W8901GB | TP-Link | |
| SmartAX MT880 | SmartAX | TD-W8901N | TP-Link | |
| SmartAX MT882 | SmartAX | TD-W8951NB | TP-Link | |
| SmartAX MT882r-T | SmartAX | TD-W8951ND | TP-Link | |
| SmartAX MT882u | SmartAX | TD-W8961N | TP-Link | |
| Bộ định tuyến Sterlite | Sterlite | TD-W8961NB | TP-Link | |
| Sweex MO300 | Sweex | TD-W8961ND | TP-Link | |
| T514 | Twister | T-KD318-W | MTNL | |
| TD811 | TP-Link | TrendChip ADSL Router | BSNL | |
| TD821 | TP-Link | UM-A + | Asotel | |
| TD841 | TP-Link | Vodafone ADSL Router | BSNL | |
| TD854W | TP-Link | vx811r | CentreCOM | |
| TD-8616 | TP-Link | WA3002-g1 | BSNL | |
| TD-8811 | TP-Link | WA3002G4 | BSNL | |
| TD-8816 | TP-Link | WA3002-g4 | BSNL | |
| TD-8816 1.0 | TP-Link | WBR-3601 | Cấp một | |
| TD-8816 2.0 | TP-Link | WebShare 111 WN | Atlantis | |
| TD-8816B | TP-Link | WebShare 141 WN | Atlantis | |
| TD-8817 | TP-Link | WebShare 141 WN + | Atlantis | |
| TD-8817 1.0 | TP-Link | Modem / Router ADSL không dây | không xác định | |
| TD-8817 2.0 | TP-Link | Wireless-N 150Mbps ADSL | ||
| TD-8817B | TP-Link | Router | BSNL | |
| TD-8820 | TP-Link | ZXDSL 831CII | ZTE | |
| TD-8820 1.0 | TP-Link | ZXDSL 831II | ZTE | |
| TD-8840T | TP-Link | ZXHN H108L | ZTE | |
| TD-8840T 2.0 | TP-Link | ZXV10 W300 | ZTE | |
| TD-8840TB | TP-Link | ZXV10 W300B | ZTE | |
| TD-W8101G | TP-Link | ZXV10 W300D | ZTE | |
| TD-W8151N | TP-Link | ZXV10 W300E | ZTE | |
| TD-W8901G | TP-Link | ZXV10 W300S | ZTE | |
Ở trên không phải là danh sách toàn diện các thiết bị bị ảnh hưởng. Cho đến khi có bản vá, hãy bật cả tường lửa bộ định tuyến trong khi vẫn có tường lửa phần mềm. Mặc dù bài viết giải thích những gì là bất hạnh cookie và danh sách một số các thiết bị dễ bị tổn thương, tôi không thể đưa ra một phương pháp thích hợp để giữ cho mình an toàn, ngoại trừ chờ đợi cho các bản vá của nhà cung cấp của bạn.
Nếu bạn có bất kỳ ý tưởng nào về cách bảo mật các bộ định tuyến, vui lòng chia sẻ với chúng tôi.
Tài liệu tham khảo: CheckPoint.
