La compañía de seguridad informática Check Point informa de la detección de una vulnerabilidad crítica -aunque antigua- que afecta a al menos 12 millones de ‘routers’.
Este error, que ha sido bautizado con el nombre de «galleta de la desgracia» (‘Misfortune Cookie’), «podría ser usado para tomar el control -con privilegios de administrador- de millones de ‘routers’ domésticos y de pymes», sostiene la compañía.
El ‘software’ afectado es «el programa de servidor web RomPager de AllegroSoft, que normalmente está embebido en el ‘firmware’ integrado en los dispositivos», afirma Check Point en una nota.
Así, la compañía ha detectado que este agujero en al menos una docena de millones de dispositivo «de diferentes modelos y fabricantes en todo el mundo», y que «podría llegar a permitir a un atacante tomar control del dispositivo y sus privilegios de administración».
Hasta 200 modelos de ‘routers’ sufren este agujero, de fabricantes y marcas como D-Link, Edimax, Huawei, TP-Link, ZTE, y ZyXEL,
La multinacional israelí destaca que ésta es una de las más extendidas de los últimos años
«Misfortune Cookie es una grave vulnerabilidad presente en millones de hogares y pequeñas empresas de todo el mundo y, si no se detecta y se controla, podría permitir a los hackers no sólo robar datos personales, sino también controlar las casas de las personas”, ha explicado Shahar Tal, director del grupo de malware y vulnerabilidades de Check Point Software Technologies, que finaliza asegurando que «en Check Point estamos dedicados a la protección de Internet y sus usuarios manteniéndonos por delante de los atacantes, centrados en descubrir cada día nuevos fallos de seguridad y en desarrollar la protección necesaria en tiempo real».
Para cerrar el agujero de seguridad, es necesario instalar un parche para el ‘firmware’ del dispositivo. Algunos medios especializados sostienen que AllegroSoft arregló el agujero en su ‘firmware’ 2005, pero el código aún ha de ser corregido en millones de ‘routers’ en los y oficinas. El error de programación data de 2002.
Check Point, que no ha revelado información sobre esta vulnerabilidad en profundidad por motivos obvios de seguridad, ha habilitado un sitio web de información sobre la ‘galleta de la desgracia’ que completa la información de este error.