Podatności w systemie webOS działającym na telewizorach LG Smart TV
9.04.2024
Specjaliści z Bitdefender w listopadzie ubiegłego roku odkryli i zgłosili kilka luk bezpieczeństwa.
LG wypuścił łatkę z aktualizacjami dopiero 22 marca 2024.
Jeżeli posiadacie któryś z wymienionych niżej telewizorów od LG – upewnijcie się, że posiadają one najnowszą wersję webOS.
Podatne wersje:
- webOS 4.9.7 – 5.30.40 running on LG43UM7000PLA
- webOS 5.5.0 – 04.50.51 running on OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 running on OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85 running on OLED55A23LA
Na co pozwalały podatności:
- CVE-2023-6317 – Podatność pozwalająca na ominięcie PIN-u i dodanie konta z wysokimi uprawnieniami na telewizorze bez udziału użytkownika
- CVE-2023-6318 – Podatność pozwalająca atakującemu na podniesienie uprawnień i uzyskaniu dostępu do roota aby przejąć kontrolę nad urządzeniem
- CVE-2023-6319 – Podatność pozwalająca na wstrzykiwanie poleceń poprzez manipulację biblioteką „asm”, która normalnie służy do wyświetlania tesktów piosenek
- CVE-2023-6320 – Podatność pozwalająca na wstrzykiwanie zautoryzowanych poleceń poprzez manipulację endpointem API com.webos.service.connectionmanager/tv/setVlanStaticAddress
Teoretycznie podatność jest wycelowana w dostęp po LAN-ie, ale w Internecie jest widoczne ponad 88 tys. telewizorów z webOS, w tym prawie 900 z Polski. Shodan.io ładnie wszystko pokazuje 😉
źródło: https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos/
~dk