Podle Národního bezpečnostního týmu CSIRT.CZ se zranitelnost týká 12 miliónů přístrojů. „Útočník musí k exploitování chyby zaslat pouze jediný paket obsahující speciální HTTP cookie. Tento exploit následně naruší paměť zařízení a umožní útočníkovi vzdáleně získat administrátorský přístup k zařízení,“ popsal způsob útoku bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

Software obsahující tuto chybu je vestavěný web server RomPager od AllegroSoft. „Chyba se týká výrobků D-Link, Huawei, TP-Link, ZTE, Zyxel a některých dalších. Zranitelný kód byl vytvořen v roce 2002 a byl poskytován tvůrcům chipsetů spolu s SDK, na kterém pak výrobci vytvářeli vlastní firmware,“ podotkl Bašta.

„Kód SDK byl ovšem opraven v roce 2005, přesto byla nalezena chyba i firmware pro zařízení z roku 2014, který byl stažen před měsícem,“ uzavřel bezpečnostní analytik.

„Misfortune Cookie je nebezpečná zranitelnost, která je přítomna v miliónech domácností a malých podniků po celém světě. Pokud zůstane neodhalena a nezabezpečena, mohou ji kyberútočníci zneužít nejenom ke krádežím osobních údajů, ale mohou získat i kontrolu nad domovem uživatelů,“ uvedl Shahar Tal z Check Pointu.