Misfortune Cookie: Problema de seguridad en Routers.

La galleta del infortunio -Misfortune Cookie - podría ser la traducción de esta vulnerabilidad ahora publicada, que no nueva pues ya desde el año 2002 se conocía y había sido corregida por algunos fabricantes de equipos de enrutamiento del tipo doméstico o de pequeño negocios (SOHO).

 En un reciente estudio de la compañía Check Point ( véase artículo http://www.checkpoint.com/blog/fortune-cookie-hole-internet-gateway), hace horas, se  informa de que más de 12 millones de los citados routers  pueden  ser atacados por hackers desde cualquier parte del mundo y monitorizar el tráfico interno en su red local,  administrar determinados aspectos sus equipos y hasta visualizar contenidos de  cámaras web.

 Los equipos afectados son fundamentalmente de los fabricantes D-Link, Edimax, Huawei, Linksys, TP-Link, ZTE y ZyXEL.

 

El problema de fondo reside  en el software que llevan  los equipos en su ROM realizados por la compañía AllegroSoft, siendo las versiones anteriores a la 4.34 las que poseen la vulnerabilidad que permite a un pirata informático el envío un fichero HTTP o cookie y que tome el control del router con las consecuencias ya indicadas.

 Las soluciones en este sentido van por dos vías:

 

- Cambiar el enrutador.

- Actualizar la versión de la ROM del equipo.

Y son en este orden debido a que hay que ver la posibilidad de actualización del firmware para ciertos equipos que han sido fabricados hace más de 10 años. Y que nuestra experiencia nos dice que esta operación de actualización es demasiado crítica pues aun facilitando el fabricante el firmware de su producto no se hacen responsable de que luego arranque correctamente.

Permítanme el símil médico: Es como si a un paciente le tengo que operar del corazón y una vez cambiado este órgano vital no tengo garantías al 100% de que funcione, .. bueno no tanto la labor de un cardiólogo es mucho más transcendental y crítica,  pero en mi caso mi empresa  se quedaría sin comunicaciones , sin Internet, sin poder enviar correos o simplemente sin poder mandar un trabajo a imprimir.