至少1200万家用和小型路由器存在高危漏洞－－厄运饼干

　　Check Point的研究人员发现一个长达十年未被注意的严重漏洞，影响全世界189个国家至少1200万台主流品牌的家用和小型路由器。包括D-Link、TP-Link、爱迪麦斯（Edimax）、合勤（ZyXEL）、华为和中兴，这些路由器在有的国家甚至能占到一半的用户市场。

　　此漏洞被称为“厄运饼干”（Misfortune cookie），攻击者只需发送一个包含HTTP cookie的恶意数据包，即可导致设备内存出错并允许攻击者远程获得管理员权限，监控路由器的所有流量数据，比如文件、邮件和登录信息，用恶意软件感染设备和发动中间人攻击。攻击者还可以利用此漏洞绕过防火墙或网关隔离等安全措施。比如，通过路由器访问内部摄像头、打印机，或从企业的网络存储设备中拷出数据。

　　漏洞根源目前未知，有可能问题出现在一个2002年生产的芯片软件开发包（SDK）中。Check Point警告超过200种型号的设备使用RomPager的嵌入式网页服务器软件，该软件使用称为TR-069的远程控制报务，4.34版本以前的软件都可能存在此漏洞。

　　RomPager官方已经确认这个漏洞：“我们相信，这是一个业界需要解决的问题，所有现代设备的默认设置都应该设置成自动更新。”

　　目前并未发现利用厄运饼干（CVE-2014-9222）进行攻击的实例，研究人员计划在即将到来的安全会议上披露该漏洞的详细信息。