ಸುಪ್ರಾ ಸ್ಮಾರ್ಟ್ ಕ್ಲೌಡ್ ಟಿವಿಗಳಲ್ಲಿ ದುರ್ಬಲತೆ (CVE-2019-12477) ಇದು ಪ್ರಸ್ತುತ ವೀಕ್ಷಿಸಿದ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಆಕ್ರಮಣಕಾರರ ವಿಷಯದೊಂದಿಗೆ ಬದಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ತುರ್ತು ಪರಿಸ್ಥಿತಿಯ ಬಗ್ಗೆ ಕಾಲ್ಪನಿಕ ಎಚ್ಚರಿಕೆಯ ಔಟ್ಪುಟ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ.
ದಾಳಿಗಾಗಿ, ದೃಢೀಕರಣದ ಅಗತ್ಯವಿಲ್ಲದ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ನೆಟ್ವರ್ಕ್ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಕು. ನಿರ್ದಿಷ್ಟವಾಗಿ, ವೀಡಿಯೊ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ m3u8 ಫೈಲ್ನ URL ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ನೀವು “/remote/media_control?action=setUri&uri=” ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಬಹುದು, ಉದಾಹರಣೆಗೆ “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಟಿವಿಯ IP ವಿಳಾಸದ ಪ್ರವೇಶವು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ಗೆ ಸೀಮಿತವಾಗಿರುತ್ತದೆ, ಆದರೆ ವಿನಂತಿಯನ್ನು HTTP ಮೂಲಕ ಕಳುಹಿಸುವುದರಿಂದ, ಬಳಕೆದಾರರು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಬಾಹ್ಯ ಪುಟವನ್ನು ತೆರೆದಾಗ ಆಂತರಿಕ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ವಿಧಾನಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ (ಉದಾಹರಣೆಗೆ, ಅಡಿಯಲ್ಲಿ ಚಿತ್ರ ವಿನಂತಿಯ ವೇಷ ಅಥವಾ ಬಳಸಿ ).
ಮೂಲ: opennet.ru