Zranitelnost umožňovala měnit obsah IPTV vysílání, odhalil výzkumný tým Check Point Research

Asi před rokem výzkumný tým Check Point Research objevil kritickou zranitelnost v ukrajinské IPTV streamovací platformě, která by v případě zneužití vystavila poskytovatele služeb závažnému bezpečnostnímu riziku. Útočníci by se mohli dostat k celé databázi osobních a finančních údajů zákazníků a zároveň by mohli potenciálně vysílat na obrazovkách zákazníků libovolný obsah.
I když není možné zjistit, kolik přesně lidí mohlo být touto zranitelností potenciálně ohroženo, protože se jedná o tři samostatné subjekty (Infomir jako prodejce produktu IPTV, poskytovatelé služeb platformy Ministra a koncoví uživatelé, kteří používají domácí službu), výzkumný tým Check Point Research zjistil, že existuje kolem 1000 poskytovatelů služeb, kteří si platformu Ministra koupili a poskytovali ji svým zákazníkům. Bohužel nevíme, kolik zákazníků má každý z těchto prodejců, ale podle odhadů by počet mohl být velmi vysoký. Check Point Research zodpovědně zveřejňuje informace o zranitelnosti až po jejím opravení.

Infomir je ukrajinský výrobce IPTV, OTT a VoD zařízení, jako jsou set-top boxy. Tyto set-top boxy (STB) jsou v podstatě streamery, které propojí televizi a poskytovatele televizních služeb. Každý z těchto STB komunikuje a přijímá data z platformy nazvané Ministra (dříve Stalker).

Aby bylo možné přijímat televizní vysílání, STB se připojují k Ministře a poskytovatelé služeb využívají platformu Ministra pro správu svých klientů. Pokud by útočník získal neoprávněný přístup k této platformě, mohl by v získat přístup k finančním údajům zákazníků a také změnit obsah odesílaný zákazníkům.

Někdy může kritické problémy způsobit malá logická chyba. V tomto konkrétním případě šlo obejít autentizaci pomocí techniky SQL Injection a s využitím zranitelnosti Object Injection bylo možné na serveru spustit libovolný kód, což mohlo ohrozit poskytovatele služeb i klienty.

Tyto zranitelnosti byly opravené ve verzi 5.4.1 (Stalker/Ministra), ale důrazně doporučujeme, aby dodavatelé aktualizovali svůj systém.

Check Point chrání zákazníky i proti této hrozbě.

Více informací najdete v analýze bezpečnostního týmu Check Point Research:
https://research.checkpoint.com/we-decide-what-you-see-remote-code-execution-on-a-major-iptv-platform/

Reklamy