Controllare i ricercatori di sicurezza hanno rivelato Point multiple vulnerabilità critiche in una piattaforma IPTV popolare chiamato Ministra. Le vulnerabilità possono consentire agli aggressori di bypassare l'autenticazione e ottenere le informazioni degli utenti. L'impatto delle vulnerabilità potrebbe essere abbastanza devastante. La ricerca mostra che ci sono oltre 1000 fornitori del servizio. La buona notizia è che la vulnerabilità è stato aggiornato.
La piattaforma Ministra è utilizzato da oltre un migliaio di servizi regionali e internazionali di streaming media online per gestire i loro milioni di abbonati. Le vulnerabilità nella piattaforma potrebbe portare a tutta la loro database clienti di informazioni personali e dettagli finanziari di essere esposti, oltre a permettere attaccanti potenzialmente streaming qualsiasi contenuto agli schermi della rete cliente.
Di più sulla piattaforma Ministra
Infomir è un produttore ucraino di IPTV (Internet Protocol Television), OTT (Over-the-Top) e VoD (La domanda di video-on) dispositivi come set-top box, spiega il rapporto. I set-top box (ECC) sono descritti come fiamme che si collegano a un fornitore di servizi televisivi da un lato, e alla televisione dei clienti, dall'altro. Ciascuno di questi STB comunica con dalla piattaforma Ministra dedicata.
Al fine di ricevere la trasmissione televisiva, STB si collega alla Ministra e fornitori di servizi di utilizzare la piattaforma Ministra per gestire i loro clienti. Sono stati un utente malintenzionato di ottenere l'accesso non autorizzato a questa piattaforma potrebbero esporre essenzialmente dettagli finanziari della base clienti del provider o modificare il contenuto inviato ai clienti dei fornitori di servizi.
Per farla breve, Check Point sono imbattuto in una falla logica in una funzione di autenticazione della Ministra. La funzione non riesce a convalidare le richieste permettendo così attaccanti remoti di autenticazione bypass. In aggiunta, attaccanti potrebbero anche effettuare l'iniezione SQL utilizzando un'altra vulnerabilità che potrebbe essere sfruttata da un utente malintenzionato autenticato.
Quando concatenato con un'iniezione difetto oggetto PHP, esecuzione remota di codice arbitrario diventa possibile, e questo è visibile in un video dimostrativo.
La buona notizia è che i ricercatori hanno contattato l'azienda, che ha affrontato le vulnerabilità nella versione Ministra 5.4.1. parti vulnerabili devono aggiornare alla versione più recente della piattaforma il più presto possibile.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: