Bitdefender araştırmacıları, LG akıllı TV’lerde çalışan ve saldırganlara cihazlara sınırsız (kök) erişim sunabilen işletim sistemi olan webOS’ta dört güvenlik açığını ortaya çıkardı.
Araştırmacılar, “Savunmasız hizmet yalnızca LAN erişimi için tasarlanmış olsa da, İnternet bağlantılı cihazlara yönelik arama motoru Shodan, bu hizmeti İnternet’e açan 91.000’den fazla cihaz tespit etti” dedi.
LG’nin 22 Mart 2023’te güvenlik açıklarını düzeltmesi ve bazı kullanıcıların ya güncellemeleri uygulaması ya da TV’lerini güncellemeleri otomatik olarak gerçekleştirecek şekilde ayarlaması nedeniyle, potansiyel olarak istismar edilebilecek internete bağlı cihazların sayısı muhtemelen daha azdır.
Güvenlik açıkları
CVE-2023-6317, bir istem bypass’ıdır. ikinci ekran. ağ geçidi Saldırganların güvenlik PIN’ini girmeye gerek kalmadan ve herhangi bir kullanıcı etkileşimi olmadan ayrıcalıklı bir hesap oluşturmasına olanak tanıyan, webOS üzerinde çalışan bir hizmet.
CVE-2023-6318, bir dizi kimlik doğrulama isteğiyle tetiklenebilen ve kök kullanıcı olarak komut yürütülmesine yol açabilen bir komut yerleştirme güvenlik açığıdır.
CVE-2023-6319, işletim sistemi komut enjeksiyonuna izin verir ve CVE-2023-6320, bir saldırganın belirli bir API uç noktasını değiştirerek kimliği doğrulanmış komutlar enjekte etmesine ve (yüksek ayrıcalıklı) dbus kullanıcısı olarak komut yürütme elde etmesine olanak tanır.
Güvenlik açıkları, çeşitli LG akıllı TV’lerde çalışan çeşitli webOS sürümlerini etkiliyor:
CVE-2023-6317, saldırganın kimlik doğrulamayı atlayarak kendisini kullanıcı olarak eklemesine, ardından TV’ye kök erişimi sağlamak için ayrıcalıkları yükseltmesine (CVE-2023-6318) ve son olarak komut eklemeyi kullanmasına (CVE-2023-6319, CVE-2023-6319) olanak tanır. 2023-6320) potansiyel olarak ek kötü amaçlı yazılım bırakma (örneğin, cihazı bir DDoS botnet’e bağlamak) veya TV’nin bağlı olduğu akıllı ev ağı boyunca yanal olarak hareket etmeye çalışmak.
Kullanıcıların LG akıllı TV’lerini mümkün olan en kısa sürede (henüz güncellememişlerse) güncellemeleri önerilir.