Araştırmacılar, LG Smart TV’de Root Erişimine İzin Veren Güvenlik Açıklarını Keşfediyor

   Nisan 9, 2024  Posted in TheHackerNews


09 Nis 2024Haber odasıGüvenlik Açığı / IoT Güvenliği

LG Akıllı TV'deki Güvenlik Açıkları

LG’nin akıllı televizyonlarında çalışan webOS’ta, yetkilendirmeyi atlamak ve cihazlarda kök erişimi elde etmek için kullanılabilecek çok sayıda güvenlik açığı ortaya çıktı.

Bulgular, kusurları Kasım 2023’te keşfedip bildiren Rumen siber güvenlik firması Bitdefender’dan geldi. Sorunlar, 22 Mart 2024’te yayınlanan güncellemelerin bir parçası olarak LG tarafından düzeltildi.

Güvenlik açıkları CVE-2023-6317’den CVE-2023-6320’ye kadar izleniyor ve aşağıdaki webOS sürümlerini etkiliyor:

  • LG43UM7000PLA’da çalışan webOS 4.9.7 – 5.30.40
  • OLED55CXPUA’da çalışan webOS 5.5.0 – 04.50.51
  • webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 OLED48C1PUB üzerinde çalışıyor
  • webOS 7.3.1-43 (kefal-mebin) – 03.33.85, OLED55A23LA’da çalışıyor
Siber güvenlik

Eksikliklerin kısa bir açıklaması aşağıdaki gibidir:

  • CVE-2023-6317 – Bir saldırganın PIN doğrulamasını atlamasına ve kullanıcı etkileşimi gerektirmeden TV setine ayrıcalıklı bir kullanıcı profili eklemesine olanak tanıyan bir güvenlik açığı
  • CVE-2023-6318 – Saldırganın ayrıcalıklarını yükseltmesine ve cihazın kontrolünü ele geçirmek için root erişimi elde etmesine olanak tanıyan bir güvenlik açığı
  • CVE-2023-6319 – Müzik sözlerini göstermekten sorumlu asm adlı kütüphaneyi manipüle ederek işletim sistemine komut enjeksiyonuna izin veren bir güvenlik açığı
  • CVE-2023-6320 – com.webos.service.connectionmanager/tv/setVlanStaticAddress API uç noktasını değiştirerek kimliği doğrulanmış komutların eklenmesine izin veren bir güvenlik açığı

Kusurların başarılı bir şekilde kullanılması, bir tehdit aktörünün cihaza yönelik yükseltilmiş izinler elde etmesine olanak tanıyabilir ve bu izinler, kök erişimi elde etmek için CVE-2023-6318 ve CVE-2023-6319 veya CVE-2023-6320 ile zincirlenebilir. dbus kullanıcısı olarak isteğe bağlı komutları çalıştırmak için.

LG Akıllı TV'deki Güvenlik Açıkları

Bitdefender, “Savunmasız hizmet yalnızca LAN erişimi için tasarlanmış olsa da, İnternet bağlantılı cihazlara yönelik arama motoru Shodan, bu hizmeti İnternet’e açan 91.000’den fazla cihazı tespit etti.” dedi. Cihazların çoğunluğu Güney Kore, Hong Kong, ABD, İsveç, Finlandiya ve Letonya’da bulunuyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link