90.000’den fazla LG TV Yetkilendirme Saldırılarına Karşı Savunmasız

   Nisan 9, 2024  Posted in CyberSecurityNews


90.000'den Fazla LG TV, WebOS Güvenlik Açıkları Nedeniyle Yetkilendirme Saldırılarına Karşı Savunmasız

Bitdefender Labs, şirketin tescilli WebOS platformunu çalıştıran 90.000’den fazla LG akıllı TV’de kritik bir güvenlik açığını ortaya çıkardı.

Güvenlik açığından yararlanılması durumunda saldırganların TV’nin işlevlerine ve potansiyel olarak kullanıcının ev ağına yetkisiz erişim sağlamasına olanak tanınabilir.

Shodan Raporu (Resim Kredisi: Siber Güvenlik Haberleri)

Kusurun Keşfi

Bitdefender’daki siber güvenlik uzmanları, çok çeşitli LG akıllı TV’lerde kullanılan LG’nin WebOS’unda bir dizi güvenlik açığı tespit etti.

Güvenlik açıkları, sistem içindeki kötü niyetli kişilerin atlayabileceği uygunsuz kimlik doğrulama mekanizmalarıyla ilgilidir.

Temel sorun, WebOS’un dosya izinlerini ve kimlik doğrulama süreçlerini yönetme biçiminde yatmaktadır.

Belge

Gelişmiş Kimlik Avı Saldırısını Yapay Zekayla Durdurun

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .


Sistem, bir saldırganın yetkisiz komutları yürütmesine izin verebilecek yetkili bir varlık tarafından bir isteğin yapılıp yapılmadığını yeterince doğrulayamıyor.

Özellikle, güvenlik açığının WebOS içindeki “com.webos.service.networkinput” olarak bilinen ve gelen ağ isteklerini dinleyen bir hizmete kadar izi sürülebilir.

CVE-2023-6317: Saldırgan, WebOS 4’ten 7’ye kadar olan sürümlerde yetkilendirme mekanizmasını atlayabilir.
CVE-2023-6318: Bu kusur, saldırganların ilk adımda elde ettikleri erişimi cihazı rootlamalarına ve cihazı tamamen ele geçirmelerine olanak tanır.
CVE-2023-6319: Kusur, müzik sözlerini göstermekten sorumlu bir kütüphaneyi manipüle ederek işletim sistemine komut enjeksiyonuna izin verir.
CVE-2023-6320: güvenlik açığı, bir saldırganın com.webos.service.connectionmanager/tv/setVlanStaticAddress API uç noktasını değiştirerek kimliği doğrulanmış komutlar eklemesine olanak tanır.

Bu hizmet, kullanıcıların mobil uygulamalar veya diğer cihazlar aracılığıyla TV’leriyle etkileşime girmesine olanak sağlamayı amaçlamaktadır.

Ancak yetersiz güvenlik kontrolleri nedeniyle saldırgan, TV ile yetkili cihazlar arasındaki meşru iletişimi taklit edebilir.

Potansiyel Riskler ve Etkiler

Bu güvenlik açığından yararlanılması çeşitli olumsuz senaryolara yol açabilir:

  • Yetkisiz Erişim: Saldırganlar TV’nin işlevleri üzerinde kontrol sahibi olabilir, kanalları değiştirebilir, ses seviyesini ayarlayabilir veya rastgele medya içeriğini oynatabilir.
  • Gizlilik İhlali: TV’nin çevrimiçi hizmetlere erişmek için kullanılması durumunda hesap kimlik bilgileri ve kişisel veriler gibi hassas bilgiler risk altında olabilir.
  • Ağa İzinsiz Giriş: Akıllı TV’ler genellikle ev ağlarına bağlı olduğundan, bu güvenlik açığı, saldırganların aynı ağdaki diğer cihazların güvenliğini aşması için bir ağ geçidi işlevi görebilir.

Bitdefender, tespit edilmesi üzerine bu güvenlik açıklarını derhal LG’ye bildirdi ve elektronik devi o zamandan beri sorunu çözmek için bir yama üzerinde çalışıyor.

LG TV sahiplerine, cihazlarının otomatik güncellemeleri alacak şekilde ayarlandığından emin olmaları önerilir; bu, güvenlik düzeltmesi yayınlandıktan sonra geçerli olacaktır.

Bu arada kullanıcılar riski azaltmak için aşağıdaki adımları uygulayabilir:

  • Ağ Segmentasyonu: Diğer cihazlarla etkileşimini sınırlamak için akıllı TV’yi ayrı bir ağ bölümünde izole edin.
  • Düzenli İzleme: TV’de veya bağlı olduğu ağda olağandışı etkinlikler olup olmadığına dikkat edin.
  • Satıcı Güncellemeleri: Güvenlik açığıyla ilgili güncellemeler için LG’nin duyurularını takip edin ve yamalar yayınlanır yayınlanmaz uygulayın.

Bu olay, Nesnelerin İnterneti (IoT) ortamında artan güvenlik zorluklarının açık bir hatırlatıcısı olarak hizmet ediyor.

Daha fazla cihaz birbirine bağlandıkça güvenlik ihlali potansiyeli de artıyor.

Üreticiler ve kullanıcılar, yetkisiz erişime karşı koruma sağlamak ve kullanıcıların gizliliğini ve güvenliğini sağlamak için güvenliğe öncelik vermelidir.

LG, akıllı TV’lerini olası yetkilendirme saldırılarına karşı korumaya çalışırken bu hikayeyle ilgili daha fazla gelişme için bizi takip etmeye devam edin.

Secure your emails in a heartbeat! Take Trustifi's free 30-second assessment and get matched with your ideal email security vendor - Try Here



Source link