Siber güvenlik firması Bitdefender, LG’nin WebOS TV’lerinde dünya çapında 91.000’den fazla cihazı etkileyen bir dizi kritik güvenlik açığını ortaya çıkardı.
CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 ve CVE-2023-6320 olarak tanımlanan bu kusurlar, saldırganların yetkisiz kök erişimi elde etmesine olanak tanıyarak kullanıcıların gizliliği ve güvenliği için risk oluşturabilir.
Dünyanın ilk akıllı ev siber güvenlik merkezini yaratmasıyla tanınan Bitdefender, bu araştırmayı IoT güvenliğini artırmaya yönelik devam eden çabalarının bir parçası olarak gerçekleştirdi.
Güvenlik açıkları, WebOS 4’ten 7’ye kadar olan sürümleri çalıştıran LG TV’ler üzerinde yapılan bir denetimde keşfedildi ve cihazların güvenlik mekanizmalarında kritik bir gözetim olduğunu ortaya çıkardı.
Serinin ilki olan CVE-2023-6317, saldırganların WebOS 4’ten 7’ye kadar olan sürümlerdeki yetkilendirme mekanizmasını atlamasına olanak tanıyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Saldırganlar, belirli bir değişkeni manipüle ederek, amaçlanan güvenlik önlemlerini atlayarak TV setine fazladan bir kullanıcı ekleyebilir.
Bu güvenlik açığı, daha fazla istismara zemin hazırladığı için özellikle endişe vericidir.
İlk ihlalin ardından CVE-2023-6318, saldırganların kök erişimlerini yükseltmelerine olanak tanıyarak onlara cihaz üzerinde tam kontrol sağlıyor.
Bu güvenlik açığı, com.webos.service.cloud yükleme hizmetinden ProcessAnalyticsReport yöntemine kimliği doğrulanmış komut ekleme yoluyla yürütülür.
Saldırganlar bu kusurdan yararlanarak en yüksek ayrıcalıklara sahip keyfi komutları çalıştırabilirler.
CVE-2023-6319, işletim sistemine komut enjeksiyonuna izin vererek başka bir tehdit katmanı sunar.
Bu kusur, com.webos.service.attached depolama yöneticisi hizmetindeki getAudioMetadata yönteminde bulunur; burada, değiştirilmiş müzik şarkı sözü dosyaları, yetkisiz komut yürütülmesine yol açabilir.
Bu güvenlik açığı, saldırganların sisteme sızmak için kullanabileceği çeşitli yöntemlerin altını çiziyor.
CVE-2023-6320: Kimliği Doğrulanmış Komut Ekleme
Son güvenlik açığı olan CVE-2023-6319, saldırganların com.webos.service.connectionmanager/tv/setVlanStaticAddress API uç noktasını kullanarak kimliği doğrulanmış komutlar eklemesine olanak tanıyor.
Bu kusur, kök kullanıcının izinlerine sahip olan dbus kullanıcısı olarak cihazda komutların yürütülmesine olanak tanır ve bu da istismar potansiyelini daha da artırır.
Savunmasız İşletim Sistemi Sürümleri
Güvenlik açıkları, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli WebOS sürümlerini ve modellerini etkilemektedir:
- LG43UM7000PLA’da çalışan webOS 4.9.7 – 5.30.40
- OLED55CXPUA’da çalışan webOS 5.5.0 – 04.50.51
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 OLED48C1PUB üzerinde çalışıyor
- webOS 7.3.1-43 (kefal-mebin) – 03.33.85, OLED55A23LA’da çalışıyor
Rapor, güvenlik açıklarından nasıl yararlanıldığına dair ayrıntılı bir teknik analiz sunuyor.
Örneğin, hesap yöneticisindeki bir hata, saldırganların PIN doğrulamasını tamamen atlamasına ve kullanıcı etkileşimi olmadan ayrıcalıklı bir kullanıcı profili oluşturmasına olanak tanıyor.
Bu ve güvenlik açıklarına ilişkin diğer teknik bilgiler, IoT cihazlarında sağlam güvenlik önlemlerine yönelik kritik ihtiyacın altını çiziyor.
LG WebOS TV’lerde bu güvenlik açıklarının keşfedilmesi, akıllı cihazların güvenliğinde devam eden zorlukların altını çiziyor.
Kullanıcılardan, bu kusurların oluşturduğu riskleri azaltmak için cihazlarını mümkün olan en kısa sürede güncellemeleri isteniyor.
Bitdefender’ın raporu, sürekli genişleyen IoT ortamında siber güvenliğin öneminin önemli bir hatırlatıcısı olarak hizmet ediyor.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.