乌克兰一家电视流媒体设备制造商发现了一个关键的远程执行漏洞,如果被利用,攻击者将有权控制流媒体服务和显示的内容。根据Check Point Research,乌克兰IPTV(互联网协议电视)、OTT (over - top)和VoD(视频点播)内容流媒体提供商Infomir是这一安全漏洞的来源。
周三,研究人员在一篇博客文章中说,Infomir的网络管理平台Ministra(也称为Stalker)被用来管理机顶盒。该平台充当消费者机顶盒和购买该平台的电视服务提供商之间的管道。
Ministra确实需要身份验证才能访问——但是一个逻辑问题扩展成了一个主要的安全漏洞,从而消除了这种保护。
由于清理密钥失败,团队能够绕过身份验证的需求,并控制一些admin AJAX API函数,这可能导致SQL和PHP对象注入和代码的远程执行。
如何保护您的客户的个人身份信息
Check Point表示,很难估计安全漏洞的全部影响,但由于有超过1000家内容提供商和经销商连接到Ministra,因此可能会有“非常多”的全球客户受到影响。
“为了接收电视广播,STB连接到Ministra,服务提供商使用Ministra平台管理他们的客户,”研究人员说。“风险在于,他们的整个客户个人信息数据库和财务细节可能被窃取,同时也让攻击者有可能将他们选择的任何内容传输到客户网络的屏幕上。”
CNET:亚马逊正在帮助警方建立一个按响门铃的监控网络
该漏洞于2018年首次被发现和报告,并在Ministra 5.4.1版本公开披露之前打了补丁。然而,由于一些服务提供商可能没有应用修复程序,该漏洞也被报告给了CTA论坛。
有小费吗?通过WhatsApp |信号+447713 025 499安全联系,或通过Keybase: charlie0联系