Kritická zranitelnost v ukrajinské IPTV

Útočníci by se mohli dostat k celé databázi osobních a finančních údajů zákazníků a zároveň by mohli potenciálně vysílat na obrazovkách zákazníků libovolný obsah.

I když není možné zjistit, kolik přesně lidí mohlo být touto zranitelností potenciálně ohroženo, protože se jedná o tři samostatné subjekty (Infomir jako prodejce produktu IPTV, poskytovatelé služeb platformy Ministra a koncoví uživatelé, kteří používají domácí službu), výzkumný tým Check Point Research zjistil, že existuje kolem 1000 poskytovatelů služeb, kteří si platformu Ministra koupili a poskytovali ji svým zákazníkům. Bohužel nevíme, kolik zákazníků má každý z těchto prodejců, ale podle odhadů by počet mohl být velmi vysoký. Check Point Research zodpovědně zveřejňuje informace o zranitelnosti až po jejím opravení.

Infomir je ukrajinský výrobce IPTV, OTT a VoD zařízení, jako jsou set-top boxy. Tyto set-top boxy (STB) jsou v podstatě streamery, které propojí televizi a poskytovatele televizních služeb. Každý z těchto STB komunikuje a přijímá data z platformy nazvané Ministra (dříve Stalker).

Aby bylo možné přijímat televizní vysílání, STB se připojují k Ministře a poskytovatelé služeb využívají platformu Ministra pro správu svých klientů. Pokud by útočník získal neoprávněný přístup k této platformě, mohl by v získat přístup k finančním údajům zákazníků a také změnit obsah odesílaný zákazníkům.

Někdy může kritické problémy způsobit malá logická chyba. V tomto konkrétním případě šlo obejít autentizaci pomocí techniky SQL Injection a s využitím zranitelnosti Object Injection bylo možné na serveru spustit libovolný kód, což mohlo ohrozit poskytovatele služeb i klienty.

Tyto zranitelnosti byly opravené ve verzi 5.4.1 (Stalker/Ministra), ale důrazně doporučujeme, aby dodavatelé aktualizovali svůj systém. Check Point chrání zákazníky i proti této hrozbě.