Beberapa Kerentanan Kritis Dalam Perangkat Lunak IPTV yang Digunakan Oleh Platform Streaming Media Online Populer
Platform middleware populer untuk layanan streaming media memiliki beberapa kerentanan keamanan kritis, ditemukan oleh peneliti keamanan. Jika dieksploitasi secara berurutan, kekurangan ini berpotensi memungkinkan penyerang untuk sepenuhnya melewati pemeriksaan keamanan dan mengekstrak informasi pelanggan yang sensitif, termasuk detail keuangan. Jika itu tidak cukup mengkhawatirkan, penyerang dapat dengan mudah mengganti konten yang disiarkan dengan aliran apa pun yang mereka pilih di layar TV dari semua jaringan pelanggan yang disusupi.
Ministra TV, platform middleware yang banyak digunakan tampaknya berisiko karena beberapa bug keamanan. Perangkat lunak ini pada dasarnya adalah platform perantara untuk layanan streaming media. Beberapa layanan streaming populer mengandalkan platform untuk mengelola konten dan lisensi televisi Protokol Internet (IPTV), Video-On-Demand (VOD) dan Over-The-Top (OTT) mereka. Platform ini juga memungkinkan penyimpanan dan pengelolaan basis data pelanggan serta detail transaksi, jika diperlukan.
Kerentanan di platform Ministra TV pertama kali ditemukan oleh peneliti keamanan di Checkpoint. Rupanya, kekurangannya ada di panel administratif inti platform. Penyerang berpotensi dapat memasuki sistem dengan melewati otentikasi sepenuhnya. Begitu masuk, penyerang dapat mengikis basis data pelanggan, termasuk detail keuangan mereka. Penyerang juga dapat mengganti konten dengan aliran konten apa pun. Selain itu, mereka dapat menyiarkan streaming yang dibajak ke layar TV dari semua jaringan pelanggan yang terpengaruh.
Jelas, kerentanan keamanan ada di fungsi otentikasi platform Ministra yang gagal memvalidasi permintaan. Dengan kata sederhana, penyerang jarak jauh dapat melewati otentikasi. Menggunakan kelemahan keamanan lain, penyerang dapat melakukan injeksi SQL. Kedua serangan ini berurutan. Begitu masuk, penyerang dapat melanjutkan dengan kerentanan PHP Object Injection. Ini akan memungkinkan kontrol virtual penuh dari platform. Penyerang dapat memilih untuk mengeksekusi kode arbitrer dari jarak jauh di server yang ditargetkan.
Sebelumnya dikenal sebagai Stalker Portal, platform Ministra TV pada dasarnya adalah perangkat lunak berbasis PHP. Ini dikembangkan oleh perusahaan Ukraina Infomir. Platform middleware saat ini digunakan oleh lebih dari seribu layanan streaming media online, termasuk yang ada di AS, Rusia, Prancis, Kanada, dan negara lain.
Setelah menemukan celah keamanan, peneliti keamanan telah memberi pengarahan kepada perusahaan yang mengelola platform middleware. Memperhatikan hal yang sama dengan serius, Infomir telah memperbaiki masalah dan merilis versi baru dan yang diperbarui dari platform Ministra TV. Versi terbaru Ministra TV adalah 5.4.1. Rupanya, pelanggan akhir tidak dapat memulai pembaruan. Perusahaan di belakang Ministra TV sangat mengimbau perusahaan streaming yang menggunakan platform middleware ini untuk memperbarui sistem mereka ke versi terbaru.