Flere kritiske sårbarheder i IPTV-software, der bruges af populære online mediestreamingsplatforme
Populær middlewareplatform til mediestreamingtjenester har flere kritiske sikkerhedssårbarheder, opdagede sikkerhedsforskere. Hvis de udnyttes sekventielt, kan disse mangler muligvis give angribere mulighed for helt at omgå sikkerhedskontrol og udtrække følsomme abonnentoplysninger, herunder økonomiske detaljer. Hvis det ikke vedrører nok, kan angribere let erstatte det indhold, der sendes, med en hvilken som helst strøm efter eget valg på tv-skærme i alle kompromitterede kundenetværk.
Ministra TV, en udbredt middleware-platform er tilsyneladende i fare på grund af flere sikkerhedsfejl. Softwaren er i det væsentlige en formidlende platform til mediestreamingtjenester. Flere populære streamingtjenester er afhængige af platformen til styring af deres Internet Protocol-tv (IPTV), Video-On-Demand (VOD) og Over-The-Top (OTT) -indhold og licenser. Platformen tillader også lagring og styring af abonnentdatabase samt transaktionsoplysninger, hvis det er nødvendigt.
Sårbarhederne i Ministra TV-platform blev først opdaget af sikkerhedsforskere hos CheckPoint. Manglerne er tilsyneladende til stede i platformens centrale administrative panel. Angribere kan potentielt tappe ind i systemet ved helt at omgå godkendelse. Når de var inde, kunne angribere skrabe abonnenternes database, herunder deres økonomiske oplysninger. Angribere kan også erstatte indholdet med enhver strøm af indhold. Desuden kunne de udsende den kaprede strøm på tv-skærme i alle berørte kundenetværk.
Det er åbenbart, at sikkerhedssårbarheden findes i en godkendelsesfunktion på Ministra-platformen, der ikke validerer anmodningen. Med enkle ord kan en fjernangriber omgå godkendelse. Ved hjælp af en anden sikkerhedsfejl kan angriberne udføre SQL-injektion. Disse to angreb er sekventielle. Når de er inde, kan angribere fortsætte med en sårbarhed med PHP-objektinjektion. Dette muliggør fuldstændig virtuel kontrol af platformen. Angribere kan vælge at eksternt udføre vilkårlig kode på den målrettede server.
Tidligere kendt som Stalker Portal, er Ministra TV-platformen i det væsentlige en PHP-baseret software. Det blev udviklet af det ukrainske firma Infomir. Middlewareplatformen bruges i øjeblikket af mere end tusind online mediestreamingtjenester, inklusive dem i USA, Rusland, Frankrig, Canada og andre lande.
Efter at have opdaget sikkerhedsmanglerne har sikkerhedsforskere orienteret virksomheden, der administrerer middlewareplatformen. Idet vi seriøst på det samme, har Infomir opdateret problemerne og udgivet en ny og opdateret version af Ministra TV-platformen. Den seneste version af Ministra TV er 5.4.1. Slutabonnenter kan tilsyneladende ikke starte en opdatering. Virksomheden bag Ministra TV opfordrer kraftigt de streamingfirmaer, der bruger denne middlewareplatform til at opdatere deres system til den nyeste version.