Данные уязвимости позволяют осуществлять несанкционированный доступ и контроль над затронутыми моделями, включая обход авторизации, повышение привилегий и внедрение команд.
Потенциальные атаки основаны на возможности создания произвольных аккаунтов на устройстве с использованием сервиса, работающего на портах 3000/3001 и доступного для подключения смартфонов с использованием PIN-кода.
Bitdefender объясняет, что, хотя уязвимый сервис LG WebOS предполагается использовать только в настройках локальной сети (LAN), сканирование Интернета через Shodan показывает 91 000 устройств, подверженных уязвимостям и доступных снаружи.
Четыре обнаруженные уязвимости имеют следующие описания:
- CVE-2023-6317 позволяет атакующим обходить механизм авторизации телевизора за счет эксплуатации настройки переменной, что позволяет добавить дополнительного пользователя без надлежащей авторизации.
- CVE-2023-6318 — позволяет повысить привилегии и получить доступ уровня root после первоначального несанкционированного доступа, предоставленного с помощью CVE-2023-6317.
- CVE-2023-6319 связана с инъекцией команд ОС через манипуляцию с библиотекой, ответственной за отображение текстов песен, что позволяет выполнять произвольные команды.
- CVE-2023-6320 позволяет выполнить инъекцию команд с аутентификацией за счет эксплуатации конечной точки API com.webos.service.connectionmanager/tv/setVlanStaticAddress Это позволяет злоумышленникам выполнять команды от имени пользователя dbus, который имеет права, схожие с правами пользователя root.
Уязвимости затрагивают следующие модели телевизоров и версии webOS:
- LG43UM7000PLA: webOS 4.9.7 – 5.30.40
- OLED55CXPUA: webOS 04.50.51 – 5.5.0
- OLED48C1PUB: webOS 0.36.50 – 6.3.3-442
- OLED55A23LA: webOS 03.33.85 – 7.3.1-43
Bitdefender сообщил о своих находках LG 1 ноября 2023 года, но производителю потребовалось время вплоть до 22 марта 2024 года, чтобы выпустить соответствующие обновления безопасности.
Хотя телевизоры LG уведомляют пользователей, когда доступны важные обновления для WebOS, их можно откладывать на неопределенный срок. Поэтому затронутым пользователям следует применить обновление, перейдя в меню телевизора Настройки > Поддержка > Обновление программного обеспечения и выбрав опцию Проверить наличие обновлений.
Автоматическое применение обновлений WebOS, когда они доступны, можно включить в том же меню.
Хотя телевизоры являются менее критичными, чем компьютеры или смартфоны в плане безопасности, тяжесть выполнения удаленных команд остается потенциально значительной, так как это может дать атакующим точку для дальнейших атак на другие, более чувствительные устройства, подключенные к той же локальной сети.
Более того, смарт ТВ часто имеют приложения, требующие учетных записей, например, стриминговые сервисы, контроль над которыми атакующий потенциально может захватить.
Наконец, уязвимые телевизоры могут быть скомпрометированы ботнетами с вредоносным ПО, которые привлекают их к участию в распределенных атаках типа «отказ в обслуживании» (DDoS) или используют для майнинга криптовалют.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах