Misfortune Cookie é uma vulnerabilidade no firmware para alguns roteadores.
Após o software embutido rodando o dispositivo ser explorado, o atacante pode ganhar uma interface de linha de comando (CLI). O dispositivo pode então ser usado para reunir dados, roubar credenciais ou carregar arquivos maliciosos para computadores conectados e comprometer a rede.
Quando a falha foi descoberta no final de 2014, ela já existia há uma década. A fonte do problema é um erro no mecanismo de gerenciamento de cookies HTTP no software do dispositivo. Tudo o que o atacante tem que fazer é enviar um único pacote contendo um cookie HTTP malicioso para iniciar um exploit.
Lior Oppenheim, um pesquisador do fornecedor de segurança de rede e endpoint Check Point Software Technologies Ltd., descobriu a falha, oficialmente conhecida como CVE-2014-9222. De acordo com a Check Point, a vulnerabilidade afeta mais de 12 milhões de dispositivos afetados em 200 modelos diferentes. Qualquer modelo não corrigido usando o software de servidor Web incorporado RomPager em uma versão anterior à v. 4.34 pode estar vulnerável.
Embora ainda não tenha havido nenhum ataque documentado de roteador Misfortune Cookie, a Check Point está divulgando a vulnerabilidade como uma chamada de atenção para redes de pequenos escritórios e residências (SOHO) e para a indústria de dispositivos incorporados.
Veja também: hacking de dispositivos incorporados