Check Point security onderzoekers onthulde meerdere kritieke kwetsbaarheden in een populaire IPTV platform genaamd Ministra. De beveiligingslekken kan aanvallers authenticatie omzeilen en informatie van gebruikers te verkrijgen. De impact van de zwakke plekken kon vrij worden verwoestende. Het onderzoek toont aan dat er meer dan 1000 aanbieders van de dienst. Het goede nieuws is dat de kwetsbaarheid is gepatcht.
De Ministra platform wordt gebruikt door meer dan duizend regionale en internationale online media streaming diensten aan hun miljoenen abonnees beheren. De kwetsbaarheden in het platform zou kunnen leiden tot hun gehele klantenbestand van persoonlijke informatie en financiële gegevens worden blootgesteld, evenals waardoor aanvallers om potentieel alle content streamen naar de beeldschermen van de klant netwerk.
Meer over de Ministra Platform
Infomir is een Oekraïense producent van IPTV (Internet Protocol Television), OTT (Over de top) en VoD (Video op aanvraag) apparaten zoals set-top boxes, het rapport legt. De set-top boxes (ETC.) worden beschreven als wimpels die op een televisie serviceprovider vanaf één zijde, en aan de klanten televisie op de andere. Elk van deze STB's communiceert met de toegewijde Ministra platform.
Met het oog op de televisie-uitzending te ontvangen, de STB verbindt met de Ministra en dienstverleners gebruik maken van de Ministra platform om hun klanten te beheren. Waren een aanvaller om onbevoegde toegang te krijgen tot dit platform konden zij in wezen financiële details van de provider klantenbestand's bloot te leggen of de inhoud verzonden naar klanten van de service providers’ te veranderen.
Om een lang verhaal kort te maken, Check Point kwam een logische fout in een authenticatie functie van Ministra. De functie niet aan verzoeken waardoor externe aanvallers bypass authenticatie te valideren. Bovendien, aanvallers kunnen ook het uitvoeren van SQL-injectie met een andere kwetsbaarheid die alleen door een geverifieerde aanvaller kan worden benut.
Wanneer geschakeld met een PHP voorwerp injectie fout, de afstand uitvoeren van willekeurige code mogelijk wordt, en dit is zichtbaar in een videodemonstratie.
Het goede nieuws is dat de onderzoekers contact opgenomen met het bedrijf, die de kwetsbaarheden in Ministra versie aangepakt 5.4.1. Kwetsbare partijen moeten zo snel mogelijk te updaten naar de nieuwste versie van het platform.