Cercetătorii din domeniul securității cibernetice de la Bitdefender au descoperit patru vulnerabilități cu impact asupra mai multor versiuni ale WebOS, sistemul de operare folosit în televizoarele smart ale LG. Peste 90.000 de televizoare Smart ale LG sunt expuse la atacuri de la distanță.
Vulnerabilitățile permit diverse grade de acces și control neautorizat asupra modelelor afectate, inclusiv evitarea autentificării, elevarea de privilegii și injecția de comenzi.
Atacurile potențiale sunt bazate pe abilitatea de a crea conturi arbitrare pe dispozitiv, folosind un serviciu care rulează pe porturile 3000/3001. Serviciul este disponibil pentru conectivitatea la telefoanele smart, prin intermediul unui PIN.
Bitdefender explică că, deși serviciul LG WebOS vulnerabil ar trebui să fie utilizat doar în setările rețelelor locale (LAN), scanările pe internet Shodan arată 91.000 de dispozitive expuse care sunt potențial vulnerabile la defecte.
Cele patru defecte sunt rezumate după cum urmează:
- CVE-2023-6317 permite atacatorilor să ocolească mecanismul de autorizare al televizorului exploatând o setare variabilă, permițând adăugarea unui utilizator suplimentar la televizor fără autorizarea corespunzătoare.
- CVE-2023-6318 este o vulnerabilitate de privilegii care permite atacatorilor să obțină acces root în urma accesului inițial neautorizat oferit de CVE-2023-6317.
- CVE-2023-6319 implică injectarea comenzilor sistemului de operare prin manipularea unei biblioteci responsabile cu afișarea versurilor muzicale, permițând executarea comenzilor arbitrare.
- CVE-2023-6320 permite injectarea de comenzi autentificate prin exploatarea punctului final API com.webos.service.connectionmanager/tv/setVlanStaticAddress, permițând executarea comenzii ca utilizator dbus, care are permisiuni similare cu utilizatorul root.
Deși televizoarele LG alertează utilizatorii când sunt disponibile actualizări importante ale WebOS, acestea pot fi amânate pe termen nelimitat. Prin urmare, utilizatorii afectați ar trebui să aplice actualizarea accesând Setări > Asistență > Actualizare software și selectând „Verificați actualizarea”.
Aplicarea automată a actualizărilor WebOS atunci când este disponibilă poate fi activată din același meniu.
Deși televizoarele sunt mai puțin critice în ceea ce privește securitatea, severitatea execuției comenzilor de la distanță rămâne potențial semnificativă în acest caz, deoarece ar putea oferi atacatorilor un punct de pivotare pentru a ajunge la alte dispozitive mai sensibile conectate la aceeași rețea.
Mai mult, televizoarele inteligente au adesea aplicații care necesită conturi, cum ar fi serviciile de streaming, pe care atacatorul le-ar putea fura pentru a prelua controlul asupra acelor conturi.
În cele din urmă, televizoarele vulnerabile pot fi compromise de rețele botnet-uri malware care le înscriu în atacuri distribuite de denial of service (DDoS) sau folosite pentru criptomining.
Surse: DNSC.ro/ BleepingComputer.com