Meerdere kritieke kwetsbaarheden in IPTV-software die wordt gebruikt door populaire online mediastreamingplatforms
Populair middlewareplatform voor mediastreamingservices heeft verschillende kritieke beveiligingsproblemen, ontdekten beveiligingsonderzoekers. Als ze achtereenvolgens worden misbruikt, kunnen deze fouten aanvallers in staat stellen om veiligheidscontroles volledig te omzeilen en gevoelige abonneegegevens te extraheren, inclusief financiële details. Als dat nog niet genoeg is, kunnen aanvallers de inhoud die wordt uitgezonden gemakkelijk vervangen door een stream naar keuze op de tv-schermen van alle gecompromitteerde klantnetwerken.
Ministra TV, een veelgebruikt middlewareplatform, loopt blijkbaar gevaar vanwege meerdere beveiligingsbugs. De software is in wezen een intermediair platform voor mediastreamingdiensten. Verschillende populaire streamingdiensten vertrouwen op het platform voor het beheer van hun Internet Protocol-televisie (IPTV), Video-On-Demand (VOD) en Over-The-Top (OTT) inhoud en licenties. Het platform maakt het ook mogelijk om de abonneedatabase en transactiedetails op te slaan en te beheren, indien nodig.
De kwetsbaarheden in het Ministra TV-platform werden voor het eerst ontdekt door beveiligingsonderzoekers van CheckPoint. Blijkbaar zijn de gebreken aanwezig in het centrale administratieve paneel van het platform. Aanvallers kunnen mogelijk toegang krijgen tot het systeem door authenticatie volledig te omzeilen. Eenmaal binnen konden aanvallers de database van abonnees schrapen, inclusief hun financiële gegevens. Aanvallers kunnen de inhoud ook vervangen door een willekeurige stroom inhoud. Bovendien konden ze de gekaapte stream uitzenden op de tv-schermen van alle betrokken klantnetwerken.
Kennelijk bestaat het beveiligingslek in een authenticatiefunctie van het Ministra-platform die het verzoek niet valideert. Simpel gezegd, een aanvaller op afstand kan authenticatie omzeilen. Met behulp van een ander beveiligingslek kunnen de aanvallers SQL-injectie uitvoeren. Deze twee aanvallen zijn opeenvolgend. Eenmaal binnen kunnen aanvallers doorgaan met een PHP Object Injection-kwetsbaarheid. Dit zou volledige virtuele controle over het platform mogelijk maken. Aanvallers kunnen ervoor kiezen om op afstand willekeurige code uit te voeren op de doelserver.
Het Ministra TV-platform, voorheen bekend als Stalker Portal, is in wezen op PHP gebaseerde software. Het is ontwikkeld door het Oekraïense bedrijf Infomir. Het middleware-platform wordt momenteel gebruikt door meer dan duizend online mediastreamingdiensten, waaronder die in de VS, Rusland, Frankrijk, Canada en andere landen.
Na het ontdekken van de mazen in de beveiliging, hebben beveiligingsonderzoekers het bedrijf ingelicht dat het middlewareplatform beheert. Infomir neemt dit serieus en heeft de problemen gepatcht en een nieuwe en bijgewerkte versie van het Ministra TV-platform uitgebracht. De nieuwste versie van Ministra TV is 5.4.1. Eindabonnees kunnen blijkbaar geen update starten. Het bedrijf achter Ministra TV dringt er bij de streamingbedrijven die dit middlewareplatform gebruiken met klem op aan om hun systeem te updaten naar de nieuwste versie.