Điểm yếu nghiêm trọng của nền tảng Streaming online
Nhiều lỗ hổng nghiêm trọng mới được phát hiện trong phần mềm Ministra TV – một nền tảng phổ biến được sử dụng bởi hàng ngàn dịch vụ Online Streaming trên toàn thế giới với hàng triệu subscribers.
Các nhà nghiên cứu bảo mật tại Checkpoint đã phát hiện ra các lỗ hổng nằm trong bảng quản trị của nền tảng Ministra TV mà nếu được khai thác, có thể cho phép các hacker bỏ qua xác thực và trích xuất cơ sở dữ liệu của các thuê bao, bao gồm cả chi tiết tài chính của họ.
Bên cạnh đó, lỗ hổng cũng cho phép các hacker có thể tùy ý thay
thế nội dung trình chiếu và phát sóng trên bất cứ màn hình TV nào thuộc các mạng
khách hàng bị ảnh hưởng.
Nền tảng Ministra TV
Nền tảng Ministra TV, trước đây gọi là Stalker Portal, là một
phần mềm được viết bằng PHP, hoạt động như một nền tảng phần mềm trung gian cho
các dịch vụ media truyền phát để quản lý truyền hình Giao thức Internet (IPTV),
video theo yêu cầu (VOD), các nội dung over-the-top (OTT), giấy phép và các thuê
bao.
Phần mềm này vốn được phát triển bởi công ty Infomir của
Ukraine và hiện được sử dụng bởi hơn một ngàn dịch vụ truyền phát trực tuyến với
số lượng nhà cung cấp cao nhất ở Hoa Kỳ (199), tiếp theo là Hà Lan (137), Nga
(120), Pháp (117) và Canada (105).
Video mô phỏng cách thức hacker khai thác lỗ hổng trên nền tảng Ministra Phát hiện lỗ hổng logic trong chức năng xác thực của nền tảng Ministra
Các nhà nghiên cứu của Checkpoint đã tìm thấy một lỗ hổng
logic trong chức năng xác thực của nền tảng Ministra. Lỗ hổng này cho phép kẻ tấn
công từ xa bỏ qua xác thực và thực hiện tiêm nhiễm SQL thông qua một lỗ hổng
riêng biệt mà chỉ kẻ tấn công xác thực mới có thể khai thác.
Như được trình bày trong video mô phỏng, khi lỗ hổng này được khai thác kết hợp với lỗ hổng PHP Object Injection thì các tin tặc có thể thực hiện thành công mã từ xa tùy ý trên máy chủ được nhắm mục tiêu. Điều này có thể gây ảnh hưởng tới không chỉ nhà cung cấp mà còn cả khách hàng của họ.
Các nhà nghiên cứu cũng đã sớm thông báo những phát hiện này
cho phía công ty và không lâu sau đó, phiên bản Ministra 5.4.1 đã được phát hành
cung cấp bản vá đầy đủ cho các lỗ hổng này.
Các nhà cung cấp hiện đang được khuyến nghị mạnh mẽ để cập nhật hệ thống của họ lên phiên bản mới nhất càng sớm càng tốt.
THN
The post Điểm yếu nghiêm trọng của nền tảng Streaming online appeared first on SecurityDaily .