Foram divulgadas múltiplas vulnerabilidades de segurança no LG webOS, que opera nas suas smart TVs, as quais podem ser exploradas para burlar autorizações e obter acesso root aos dispositivos.
As descobertas são de autoria da firma romena de cibersegurança Bitdefender, que identificou e reportou as falhas em novembro de 2023.
As questões foram resolvidas pela LG como parte das atualizações lançadas em 22 de março de 2024.
As vulnerabilidades são rastreadas de
CVE-2023-6317
até
CVE-2023-6320
e impactam as seguintes versões do webOS -
- webOS 4.9.7 - 5.30.40 operando no LG43UM7000PLA
- webOS 5.5.0 - 04.50.51 operando no OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 operando no OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) - 03.33.85 operando no OLED55A23LA
Segue uma breve descrição das deficiências:
CVE-2023-6317
- Uma vulnerabilidade que permite a um atacante burlar a verificação de PIN e adicionar um perfil de usuário privilegiado ao conjunto de TV sem necessidade de interação do usuário.
CVE-2023-6318
- Uma vulnerabilidade que permite ao atacante elevar seus privilégios e obter acesso root, assumindo o controle do dispositivo.
CVE-2023-6319
- Uma vulnerabilidade que permite a injeção de comandos no sistema operacional manipulando uma biblioteca chamada asm responsável por exibir letras de músicas.
CVE-2023-6320
- Uma vulnerabilidade que permite a injeção de comandos autenticados manipulando o endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress.
A exploração bem-sucedida das falhas pode permitir a um ator de ameaças obter permissões elevadas no dispositivo, que, por sua vez, pode ser combinada com
CVE-2023-6318
e
CVE-2023-6319
para obter acesso root, ou com
CVE-2023-6320
para executar comandos arbitrários como o usuário dbus.
"Embora o serviço vulnerável seja destinado apenas ao acesso LAN, o Shodan, o motor de busca por dispositivos conectados à Internet, identificou mais de 91.000 dispositivos que expõem este serviço à Internet", disse a Bitdefender.
A maioria dos dispositivos está localizada na Coreia do Sul, Hong Kong, EUA, Suécia, Finlândia e Letônia.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...