Điểm yếu nghiêm trọng của nền tảng Streaming online

InternetPosted on

Lỗi nghiêm trọng được tìm thấy trong nền tảng Ministra TV

Nhiều lỗ hổng nghiêm trọng mới được phát hiện trong phần mềm Ministra TV – một nền tảng phổ biến được sử dụng bởi hàng ngàn dịch vụ Online Streaming trên toàn thế giới với hàng triệu subscribers.

Các nhà nghiên cứu bảo mật tại Checkpoint đã phát hiện ra các lỗ hổng nằm trong bảng quản trị của nền tảng Ministra TV mà nếu được khai thác, có thể cho phép các hacker bỏ qua xác thực và trích xuất cơ sở dữ liệu của các thuê bao, bao gồm cả chi tiết tài chính của họ.

Bên cạnh đó, lỗ hổng cũng cho phép các hacker có thể tùy ý thaythế nội dung trình chiếu và phát sóng trên bất cứ màn hình TV nào thuộc các mạngkhách hàng bị ảnh hưởng.

Nền tảng Ministra TV

Nền tảng Ministra TV, trước đây gọi là Stalker Portal, là mộtphần mềm được viết bằng PHP, hoạt động như một nền tảng phần mềm trung gian chocác dịch vụ media truyền phát để quản lý truyền hình Giao thức Internet (IPTV),video theo yêu cầu (VOD), các nội dung over-the-top (OTT), giấy phép và các thuêbao.

Phần mềm này vốn được phát triển bởi công ty Infomir củaUkraine và hiện được sử dụng bởi hơn một ngàn dịch vụ truyền phát trực tuyến vớisố lượng nhà cung cấp cao nhất ở Hoa Kỳ (199), tiếp theo là Hà Lan (137), Nga(120), Pháp (117) và Canada (105).

Video mô phỏng cách thức hacker khai thác lỗ hổng trên nền tảng Ministra

Phát hiện lỗ hổng logic trong chức năng xác thực của nền tảng Ministra

Các nhà nghiên cứu của Checkpoint đã tìm thấy một lỗ hổnglogic trong chức năng xác thực của nền tảng Ministra. Lỗ hổng này cho phép kẻ tấncông từ xa bỏ qua xác thực và thực hiện tiêm nhiễm SQL thông qua một lỗ hổngriêng biệt mà chỉ kẻ tấn công xác thực mới có thể khai thác.

Như được trình bày trong video mô phỏng, khi lỗ hổng này được khai thác kết hợp với lỗ hổng PHP Object Injection thì các tin tặc có thể thực hiện thành công mã từ xa tùy ý trên máy chủ được nhắm mục tiêu. Điều này có thể gây ảnh hưởng tới không chỉ nhà cung cấp mà còn cả khách hàng của họ.

Các nhà nghiên cứu cũng đã sớm thông báo những phát hiện nàycho phía công ty và không lâu sau đó, phiên bản Ministra 5.4.1 đã được phát hànhcung cấp bản vá đầy đủ cho các lỗ hổng này.

Các nhà cung cấp hiện đang được khuyến nghị mạnh mẽ để cập nhật hệ thống của họ lên phiên bản mới nhất càng sớm càng tốt.

THN