Popüler Çevrimiçi Medya Akış Platformları Tarafından Kullanılan IPTV Yazılımında Çoklu Kritik Güvenlik Açıkları
Güvenlik araştırmacıları, medya akış hizmetleri için popüler ara katman yazılımı platformunun birkaç kritik güvenlik açığına sahip olduğunu keşfetti. Bu kusurlardan sırayla yararlanılırsa, saldırganların güvenlik kontrollerini tamamen atlamasına ve finansal ayrıntılar da dahil olmak üzere hassas abone bilgilerini çıkarmasına olanak tanıyabilir. Bu yeterli değilse, saldırganlar yayınlanan içeriği, güvenliği ihlal edilmiş tüm müşteri ağlarının TV ekranlarında istedikleri herhangi bir akışla kolayca değiştirebilir.
Yaygın olarak kullanılan bir ara yazılım platformu olan Ministra TV, birden fazla güvenlik hatası nedeniyle görünüşte risk altındadır. Yazılım, esasen medya akış hizmetleri için bir aracı platformdur. Birçok popüler akış hizmeti, İnternet Protokolü televizyonlarını (IPTV), İstek Üzerine Video (VOD) ve Over-The-Top (OTT) içeriklerini ve lisanslarını yönetmek için platforma güvenir. Platform ayrıca, gerektiğinde abone veri tabanının yanı sıra işlem ayrıntılarının depolanmasına ve yönetilmesine de olanak tanır.
Ministra TV platformundaki güvenlik açıkları ilk olarak CheckPoint'teki güvenlik araştırmacıları tarafından keşfedildi. Görünüşe göre kusurlar, platformun çekirdek yönetim panelinde mevcut. Saldırganlar, kimlik doğrulamasını tamamen atlayarak potansiyel olarak sisteme girebilir. İçeri girdikten sonra saldırganlar, finansal ayrıntıları da dahil olmak üzere abonelerin veritabanını sıyırabilir. Saldırganlar, içeriği herhangi bir içerik akışıyla da değiştirebilir. Ayrıca, ele geçirilen akışı, etkilenen tüm müşteri ağlarının TV ekranlarına yayınlayabilirler.
Açıkça, güvenlik açığı, Ministra platformunun isteği doğrulamakta başarısız olan bir kimlik doğrulama işlevinde bulunmaktadır. Basit bir deyişle, uzaktaki bir saldırgan kimlik doğrulamasını atlayabilir. Başka bir güvenlik açığı kullanarak saldırganlar SQL enjeksiyonu gerçekleştirebilir. Bu iki saldırı ardışıktır. Saldırganlar içeri girdikten sonra bir PHP Nesne Enjeksiyonu güvenlik açığıyla devam edebilir. Bu, platformun tam sanal kontrolünü sağlar. Saldırganlar, hedeflenen sunucuda uzaktan keyfi kod çalıştırmayı seçebilirler.
Daha önce Stalker Portal olarak bilinen Ministra TV platformu aslında PHP tabanlı bir yazılımdır. Ukraynalı şirket Infomir tarafından geliştirilmiştir. Ara katman yazılımı platformu şu anda ABD, Rusya, Fransa, Kanada ve diğer ülkelerdekiler de dahil olmak üzere binden fazla çevrimiçi medya akış hizmeti tarafından kullanılmaktadır.
Güvenlik açıklarını keşfettikten sonra, güvenlik araştırmacıları ara yazılım platformunu yöneten şirkete bilgi verdi. Aynı şeyi ciddiye alan Infomir, sorunları düzeltti ve Ministra TV platformunun yeni ve güncellenmiş bir sürümünü yayınladı. Ministra TV'nin en son sürümü 5.4.1'dir. Görünüşe göre, son aboneler bir güncelleme başlatamaz. Ministra TV'nin arkasındaki şirket, bu ara yazılım platformunu kullanan akış şirketlerini sistemlerini en son sürüme güncellemeye şiddetle çağırıyor.