CheckPoint发现，家用路由器中所经常使用的一款嵌入式网页伺服器RomPager含有重大漏洞，可能导致1200万台装置的使用者受骇。

CheckPoint将这个CVE-2014-9222漏洞命名为「不幸小饼干」(Misfortune Cookie)，因为受影响软体的HTTP cookie管理机制有一项错误，使攻击者可以发送经过改造的HTTP cookies攻击该漏洞，并毁损记忆体、变更应用的状态，进而远端取得管理员权限，导致装置使用者的不幸。在侵入闸道之后，即可使LAN环境下的装置面临中间人攻击(man-in-the-middle)的风险，安装恶意程式或是永久改变其设定。

如果网路闸道器或SOHO路由器有这项漏洞，任何与之连结的连网装置，包括电脑、电话、平板、印表机、NAS、监控摄影机、甚至冰箱、烤麵包机都有被入侵的风险，并用于监控使用者上网、窃取帐号密码，及个人或公司资料。

如果遭到攻击，一般没有任何纪录(log)或迹象可循，可能的线索是无法登入web介面或找不到装置的设定变更。

CheckPoint表示，问题可能源自于包含4.34版以前的RomPager有漏洞(特别是4.07版)。RomPager是Allegro公司出的嵌入式web server，一般是随着韧体出货，可能是全世界使用最广泛的web server软体。

安全人员表示，漏洞是在2002年加入程式码中，Allegro在2005年即修復，但由于家用路由器这类装置的修补周期很慢，甚至不太可能更新，因此到现在还有产品包含有问题的韧体出货。但安全公司也指出，某些厂商的韧体可能已经更新、修补了Misfortune Cookie但未改变显示的版本编号。

安全人员在不同厂商及机种的家用及中小企业用产品上发现到这个漏洞，包括友讯(D-Link)、Edimax、华为(Huawei)、TP-Link、中兴(ZTE)、合勤(ZyXEL)等共至少200款不同机种。安全人员怀疑，是因为这些产品包含了一个有漏洞的通用晶片组SDK，不过该公司目前还未能证实这点。

虽然Checkpoint还未发现针对Misfortune Cookie的攻击，但相信这个漏洞已被掌握且被用来暗中行动许久。根据其可能受害数量之广及发现难度之高，安全公司认为事态严重。研究人员推测可能遭到影响的连网装置高达1200万台。

安全人员建议消费者及中小企业安装防火墙，而且有重要资讯的文件、装置或资料匣应设密码防护。技术人员则应儘速升级韧体，或是现有闸道之外，再加装第二台网路安全装置，像是IPS等。