Plataforma de IPTV Ministra contém várias vulnerabilidades críticas

Os pesquisadores de segurança da Check Point revelaram várias vulnerabilidades críticas em uma popular plataforma de IPTV chamada Ministra. As vulnerabilidades podem permitir que invasores ignorem a autenticação e obtenham informações dos usuários.

O impacto das vulnerabilidades pode ser bastante devastador. A pesquisa mostra que existem mais de 1000 provedores do serviço. A boa notícia é que a vulnerabilidade foi corrigida.

A plataforma Ministra é utilizada por mais de mil serviços de streaming de mídia on-line regionais e internacionais para gerenciar seus milhões de assinantes.

As vulnerabilidades na plataforma podem levar à exposição de todo o banco de dados de clientes de informações pessoais e detalhes financeiros, além de permitir que invasores transmitam qualquer conteúdo para as telas da rede do cliente.

Mais sobre a Plataforma Ministra

A Infomir é uma fabricante ucraniana de dispositivos de IPTV (Internet Protocol Television), OTT (Over-the-Top) e VoD (Video-on Demand), como decodificadores, explica o relatório . Os decodificadores (set-top boxes – STB) são descritos como transmissores que se conectam a um provedor de serviços de televisão de um lado e à televisão dos clientes do outro. Cada um desses STBs se comunica com a plataforma dedicada do Ministra.

Para receber a transmissão televisiva, o STB conecta-se ao Ministério e os provedores de serviço usam a plataforma do Ministra para gerenciar seus clientes. Se um invasor obtiver acesso não autorizado a essa plataforma, poderá essencialmente expor os detalhes financeiros da base de clientes do fornecedor ou alterar o conteúdo enviado aos clientes dos provedores de serviços.

Resumindo a história, a Check Point encontrou uma falha lógica em uma função de autenticação do Ministra. A função não consegue validar solicitações, permitindo que invasores remotos ignorem a autenticação. Além disso, os invasores também podem executar a injeção de SQL usando outra vulnerabilidade que pode ser explorada apenas por um invasor autenticado. 
Quando encadeada com uma falha de injeção de objeto PHP, a execução remota de código arbitrário torna-se possível, e isso é visível em uma demonstração em vídeo.

A boa notícia é que os pesquisadores contataram a empresa, que abordou as vulnerabilidades na versão 5.4.1 do Ministra. As partes vulneráveis ​​devem atualizar para a versão mais recente da plataforma o mais rápido possível.


Google e o YouTube estão discutindo a remoção de todo o conteúdo infantil do site

O Google e o YouTube estão discutindo a remoção de todo o conteúdo infantil do…

Amazon vai lançar o serviço gratuito de transmissão de filmes IMDbTV

A IMDb TV da Amazon será lançada na Europa ainda este ano, trazendo filmes e…

PlayStation Vue é considerado um dos melhores serviços de streaming

O serviço de substituição de cabos da Sony começou como um exclusivo para PlayStation, mas…

Impostos: empresas de telecomunicações exigem que a Netflix esteja em igualdade de condições

O imposto pago pelas empresas de telecomunicações espanholas para financiar a emissora pública RTVE está…

UEFA lança plataforma digital OTT free-to-air para iOS, web e Android

A UEFA revelou a sua nova plataforma de transmissão Over The Top (OTT) UEFA.tv. A Bundesliga…

Disney, Twentieth Century Fox e outros estúdios obtiveram mais uma liminar para bloquear sites piratas

Logo depois, as mesmas empresas (mais o distribuidor australiano Madman e a Tokyo Broadcasting) voltaram…