Menu
CHIP Speedtest

PRÁVĚ V PRODEJI

Kritická zranitelnost v ukrajinské IPTV

13.06.2019 16:45 | Milan Loucký
Kritická zranitelnost v ukrajinské IPTV

Asi před rokem výzkumný tým Check Point Research objevil kritickou zranitelnost v ukrajinské IPTV streamovací platformě, která by v případě zneužití vystavila poskytovatele služeb závažnému bezpečnostnímu riziku.

Útočníci by se mohli dostat k celé databázi osobních a finančních údajů zákazníků a zároveň by mohli potenciálně vysílat na obrazovkách zákazníků libovolný obsah.

I když není možné zjistit, kolik přesně lidí mohlo být touto zranitelností potenciálně ohroženo, protože se jedná o tři samostatné subjekty (Infomir jako prodejce produktu IPTV, poskytovatelé služeb platformy Ministra a koncoví uživatelé, kteří používají domácí službu), výzkumný tým Check Point Research zjistil, že existuje kolem 1000 poskytovatelů služeb, kteří si platformu Ministra koupili a poskytovali ji svým zákazníkům. Bohužel nevíme, kolik zákazníků má každý z těchto prodejců, ale podle odhadů by počet mohl být velmi vysoký. Check Point Research zodpovědně zveřejňuje informace o zranitelnosti až po jejím opravení.

Infomir je ukrajinský výrobce IPTV, OTT a VoD zařízení, jako jsou set-top boxy. Tyto set-top boxy (STB) jsou v podstatě streamery, které propojí televizi a poskytovatele televizních služeb. Každý z těchto STB komunikuje a přijímá data z platformy nazvané Ministra (dříve Stalker).

Aby bylo možné přijímat televizní vysílání, STB se připojují k Ministře a poskytovatelé služeb využívají platformu Ministra pro správu svých klientů. Pokud by útočník získal neoprávněný přístup k této platformě, mohl by v získat přístup k finančním údajům zákazníků a také změnit obsah odesílaný zákazníkům.

Někdy může kritické problémy způsobit malá logická chyba. V tomto konkrétním případě šlo obejít autentizaci pomocí techniky SQL Injection a s využitím zranitelnosti Object Injection bylo možné na serveru spustit libovolný kód, což mohlo ohrozit poskytovatele služeb i klienty.

Tyto zranitelnosti byly opravené ve verzi 5.4.1 (Stalker/Ministra), ale důrazně doporučujeme, aby dodavatelé aktualizovali svůj systém. Check Point chrání zákazníky i proti této hrozbě.

 

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda International CZ s. r. o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání