Печенье неудач (компьютеры) - Misfortune Cookie (computers)

Печенье несчастья уязвимость компьютерного программного обеспечения определенного набора сети маршрутизаторы ' прошивка которые злоумышленник может использовать для удаленного доступа. Тайн CVSS рейтинг этой уязвимости составляет от 9,8 до 10 по 10-балльной шкале.

В этом сценарии злоумышленник отправляет созданный HTTP cookie Атрибут портала веб-управления уязвимой системой (сетевым маршрутизатором), в котором контент злоумышленника перезаписывает память устройства. Содержимое файла cookie действует как команда для маршрутизатора, который затем выполняет команды. Это приводит к выполнению произвольного кода. Эта уязвимость была обнаружена в начале 2000-х годов, но не стала публичной до 2014 года, когда исследователи безопасности из контрольно-пропускного пункта израильской охранной компании обнародовали информацию. Уязвимость по-прежнему сохраняется на более чем 1 миллионе устройств, доступных через Интернет, всего около 12 миллионов устройств. Это включает около 200 различных марок маршрутизаторов.[1]

В 2018 году уязвимость снова стала популярной, поскольку уязвимая прошивка использовалась в медицинском оборудовании, которое потенциально могло вызвать опасные для жизни атаки через Интернет вещей.[2] Его серьезность была подчеркнута ICS-CERT в своих рекомендациях, таким образом.[3]

использованная литература

  1. ^ "Печенье MisFortune" (PDF). Бюллетень.
  2. ^ «Печенье несчастья четырехлетней давности возрождается в устройстве медицинского шлюза». КровотечениеКомпьютер. Получено 2018-08-30.
  3. ^ «Qualcomm Life Capsule | ICS-CERT». ics-cert.us-cert.gov. Получено 2018-08-30.