Более 90 000 смарт ТВ от LG могут быть подвержены атакам из Интернета

2024-04-10 3026 комментарии
Исследователи безопасности из Bitdefender обнаружили четыре уязвимости, затрагивающие несколько версий WebOS, операционной системы, используемой в умных телевизорах LG Smart TV

Данные уязвимости позволяют осуществлять несанкционированный доступ и контроль над затронутыми моделями, включая обход авторизации, повышение привилегий и внедрение команд.

Потенциальные атаки основаны на возможности создания произвольных аккаунтов на устройстве с использованием сервиса, работающего на портах 3000/3001 и доступного для подключения смартфонов с использованием PIN-кода.

Bitdefender объясняет, что, хотя уязвимый сервис LG WebOS предполагается использовать только в настройках локальной сети (LAN), сканирование Интернета через Shodan показывает 91 000 устройств, подверженных уязвимостям и доступных снаружи.

Четыре обнаруженные уязвимости имеют следующие описания:

  • CVE-2023-6317 позволяет атакующим обходить механизм авторизации телевизора за счет эксплуатации настройки переменной, что позволяет добавить дополнительного пользователя без надлежащей авторизации.
  • CVE-2023-6318 — позволяет повысить привилегии и получить доступ уровня root после первоначального несанкционированного доступа, предоставленного с помощью CVE-2023-6317.
  • CVE-2023-6319 связана с инъекцией команд ОС через манипуляцию с библиотекой, ответственной за отображение текстов песен, что позволяет выполнять произвольные команды.
  • CVE-2023-6320 позволяет выполнить инъекцию команд с аутентификацией за счет эксплуатации конечной точки API com.webos.service.connectionmanager/tv/setVlanStaticAddress Это позволяет злоумышленникам выполнять команды от имени пользователя dbus, который имеет права, схожие с правами пользователя root.

Уязвимости затрагивают следующие модели телевизоров и версии webOS:

  • LG43UM7000PLA: webOS 4.9.7 – 5.30.40
  • OLED55CXPUA: webOS 04.50.51 – 5.5.0
  • OLED48C1PUB: webOS 0.36.50 – 6.3.3-442
  • OLED55A23LA: webOS 03.33.85 – 7.3.1-43

Bitdefender сообщил о своих находках LG 1 ноября 2023 года, но производителю потребовалось время вплоть до 22 марта 2024 года, чтобы выпустить соответствующие обновления безопасности.

Хотя телевизоры LG уведомляют пользователей, когда доступны важные обновления для WebOS, их можно откладывать на неопределенный срок. Поэтому затронутым пользователям следует применить обновление, перейдя в меню телевизора Настройки > Поддержка > Обновление программного обеспечения и выбрав опцию Проверить наличие обновлений.

Автоматическое применение обновлений WebOS, когда они доступны, можно включить в том же меню.

Хотя телевизоры являются менее критичными, чем компьютеры или смартфоны в плане безопасности, тяжесть выполнения удаленных команд остается потенциально значительной, так как это может дать атакующим точку для дальнейших атак на другие, более чувствительные устройства, подключенные к той же локальной сети.

Более того, смарт ТВ часто имеют приложения, требующие учетных записей, например, стриминговые сервисы, контроль над которыми атакующий потенциально может захватить.

Наконец, уязвимые телевизоры могут быть скомпрометированы ботнетами с вредоносным ПО, которые привлекают их к участию в распределенных атаках типа «отказ в обслуживании» (DDoS) или используют для майнинга криптовалют.

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте