Check Point Security forskere afsløret flere kritiske sårbarheder i et populært IPTV platform kaldet Ministra. Sårbarhederne kan tillade angribere at omgå autentifikation og få brugeres oplysninger. Virkningen af sårbarhederne kunne være ganske ødelæggende. Forskningen viser, at der er over 1000 forsyningspligtudbyderne. Den gode nyhed er, at sårbarhed er blevet lappet.
Den Ministra platformen anvendes af over tusind regionale og internationale online medier streaming-tjenester til at styre deres millioner af abonnenter. De sårbarheder i platformen kan føre til hele deres kundedatabase af personlige oplysninger og finansielle oplysninger bliver udsat, samt giver angribere at potentielt streame indhold på til skærmene i kundens netværk.
Mere om Ministra Platform
Infomir er en ukrainsk producent af IPTV (Internet Protocol Television), OTT (Over toppen) og VoD (Video-on-demand) enheder såsom dekodere, rapporten forklarer. De set-top bokse (ETC.) er beskrevet som streamers, der forbinder til en tv-udbyder fra den ene side, og til kundernes tv på den anden. Hver af disse STBs kommunikerer med fra den dedikerede Ministra platformen.
For at modtage tv-udsendelse, STB forbinder til Ministra og tjenesteudbydere bruger Ministra platform til at administrere deres kunder. Var en hacker at få uautoriseret adgang til denne platform kunne de væsentlige udsætte udbyderens kundebase finansielle detaljer eller ændre indholdet sendes til tjenesteyderens kunder.
Kort fortalt, Check Point stødte på en logisk brist i en godkendelsesfunktion af Ministra. Funktionen undlader at validere anmodninger hvorved det bliver muligt for fjernangribere at omgå autentificering. Desuden, angribere kunne også udføre SQL injektion under anvendelse af en anden svaghed, som kun kan udnyttes af en autentificeret hacker.
Når lænket med en PHP objekt injektion fejl, fjernbetjeningen udførelse af vilkårlig kode bliver mulig, og det er synligt i en video demonstration.
Den gode nyhed er, at forskerne kontaktede selskabet, som omhandler de sårbarheder i Ministra udgave 5.4.1. Sårbare parter bør opdatere til den nyeste version af platformen så hurtigt som muligt.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: