Flera kritiska sårbarheter i IPTV-programvara som används av populära onlinemedieströmningsplattformar
Populär mellanvaruplattform för media-streamingtjänster har flera kritiska säkerhetsproblem, upptäckte säkerhetsforskare. Om sekventiellt utnyttjas kan dessa brister möjligen göra det möjligt för angripare att helt kringgå säkerhetskontroller och extrahera känslig abonnentinformation, inklusive finansiell information. Om det inte räcker tillräckligt kan angripare enkelt ersätta innehållet som sänds med valfri ström på TV-skärmarna i alla komprometterade kundnätverk.
Ministra TV, en utbredd mellanvaruplattform är uppenbarligen i fara på grund av flera säkerhetsfel. Programvaran är i huvudsak en mellanliggande plattform för streamingtjänster för media. Flera populära streamingtjänster är beroende av plattformen för att hantera deras Internet Protocol TV (IPTV), Video-On-Demand (VOD) och Over-The-Top (OTT) -innehåll och licenser. Plattformen tillåter också lagring och hantering av abonnentdatabas samt transaktionsdetaljer, om det behövs.
Sårbarheterna i Ministra TV-plattform upptäcktes först av säkerhetsforskare på CheckPoint. Tydligen finns bristerna i plattformens centrala administrativa panel. Angripare kan eventuellt utnyttja systemet genom att helt kringgå autentisering. Väl inne kunde angriparna skrapa abonnenternas databas, inklusive deras ekonomiska information. Angripare kan också ersätta innehållet med vilken ström som helst. Dessutom kunde de sända den kapade strömmen till TV-skärmarna i alla berörda kundnätverk.
Uppenbarligen finns säkerhetsproblemet i en autentiseringsfunktion på Ministra-plattformen som inte kan validera begäran. Med enkla ord kan en fjärrangripare kringgå autentisering. Med hjälp av en annan säkerhetsfel kan angriparna utföra SQL-injektion. Dessa två attacker är sekventiella. Väl inne kan angripare fortsätta med en sårbarhet för PHP-objektinjektion. Detta skulle möjliggöra fullständig virtuell kontroll av plattformen. Angripare kan välja att fjärrköra godtycklig kod på den riktade servern.
Tidigare känd som Stalker Portal är Ministra TV-plattformen i huvudsak en PHP-baserad programvara. Det utvecklades av det ukrainska företaget Infomir. Middleware-plattformen används för närvarande av mer än tusen online-streamingtjänster, inklusive de i USA, Ryssland, Frankrike, Kanada och andra länder.
Efter att ha upptäckt säkerhetshålen har säkerhetsforskare informerat företaget som hanterar mellanvaruplattformen. Infomir har tagit på allvar och tagit del av problemen och släppt en ny och uppdaterad version av Ministra TV-plattform. Den senaste versionen av Ministra TV är 5.4.1. Uppenbarligen kan slutabonnenter inte initiera en uppdatering. Företaget bakom Ministra TV uppmanar starkt streamingföretagen som använder denna mellanvaruplattform för att uppdatera sitt system till den senaste versionen.