ПОДЕЛИТЬСЯ

В активно используемом программном обеспечении для сетевых потоковых служб Ministra TV выявлены критические уязвимости. Чтобы не подвергаться опасности, пользователям медиаплееров компании «Инфомир» (модельный ряд MAG), а также других смарт-устройств с поддержкой платформы Ministra рекомендуется обновить программное обеспечение до последней версии.

Эксперты по вопросам безопасности из CheckPoint обнаружили многочисленные критические уязвимости в популярном промежуточном программном обеспечении для платформ IPTV, которое в настоящее время используется более чем тысячью региональных и международных потоковых служб для управления своими миллионными абонентскими базами.

Уязвимость, выявленная экспертами, находится в панели администрирования платформы Ministra TV. Используя данную уязвимость, злоумышленники могут обходить авторизацию и извлекать базы подписчиков, включая финансовую их составляющую.

Помимо этого уязвимость может также позволить злоумышленнику заменять транслируемый поток, передавая на экраны зрителей подвергшейся атаке сети собственный контент.

Платформа Ministra TV, ранее известная как Stalker Portal, представляет собой программу, написанную на PHP и работающую в качестве промежуточной программной платформы для служб потокового вещания, которые могут использовать её для управления контентом, лицензиями и абонентскими базами услуг IPTV, VOD и ОТТ.

Программное обеспечение Ministra было разработано украинской компанией Infomir и в настоящее время используется более чем тысячью служб потоковой передачи медиа от огромного количества провайдеров в Соединённых Штатах (199), Нидерландах (137), России (120), Франции (117), Канаде (105), Украине (72) и т.д..

Эксперты из CheckPoint нашли логическую уязвимость в функции авторизации платформы Ministra, которая выражается в неспособности подтверждения запроса, что позволяет удалённому злоумышленнику обойти авторизацию и выполнить так называемую «SQL-инъекцию» через отдельную уязвимость, которую в противном случае мог бы использовать лишь злоумышленник, прошедший авторизацию.

Как видно из демонстрационного видео, используя данную уязвимость вместе с ещё одной уязвимостью – так называемой «Инъекцией PHP объекта» – эксперты смогли зайти ещё дальше, запустив на целевом сервере произвольный код.

«В данном конкретном случае мы использовали возможность обхода авторизации для осуществления SQL-инъекции в сервер, – комментируют эксперты. – Обладая информацией о реальности такого шага, мы расширили проблему, включив в него также уязвимость перед Инъекцией объекта, что, в свою очередь, дало нам возможность запустить произвольный код на атакованном нами сервере. А это потенциально затрагивает не только провайдера, но и его клиентов».

Эксперты из CheckPoint сообщили о выявленной проблеме компании, разработавшей программное обеспечение, и та в свою очередь исправила проблему, залатав уязвимость в новой версии Ministra – 5.4.1. Пользователям и поставщикам услуг настоятельно рекомендуется как можно скорее обновить свои системы до последней версии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Понравилось нас читать?

ПОДЕЛИТЬСЯ
Предыдущая публикацияКиевстар запустит 4G в харьковском метро
Следующая публикацияУченые: Интернет портит память
Борис Скуратовский
Журналист, медиа-эксперт и «летописец» истории украинского радио. Образование: филолог (должен был обучать детишек английскому языку, а также украинскому языку и литературе, но в итоге просвещаю взрослых дядь и тёть, информируя их о новостях из мира радио, телевидения и сопутствующих технологий). За развитием телевидения и радио в Украине слежу с 1990 года – вначале как пассивный наблюдатель, а с февраля 1997, когда на страницах киномузыкального еженедельника «П’ятниця» впервые вышла моя рубрика «Новости радио», - как журналист. Впоследствии в разное время сотрудничал с такими изданиями, как газета «Хрещатик», а также журналы «Телерадіокур’єр», «Телемир», «Медиа-Эксперт» и рядом других. С 1998 по 2001 год работал на «Радио РОКС – Украина», где впервые получил возможность изучить радио «изнутри». Затем какое-то время работал редактором-наполнителем сайта радиостанции «ХИТ FM», а потом сотрудничал ещё с несколькими радиостанциями в качестве копирайтера. С 1999 года веду собственный интернет-портал ProRadio.Org.Ua, всецело посвящённый теме радиовещания в Украине. Люблю классический хард-рок, ценю оригинальность и нестандартность. Интересуюсь историей, лингвистикой, психологией.