Blog Epsoft Privacy & Security
Subscribe

MAIS DE 90 MIL SMART TVS DA LG PODEM ESTAR EXPOSTAS A ATAQUES

MAIS DE 90 MIL SMART TVS DA LG PODEM ESTAR EXPOSTAS A ATAQUES

Pesquisadores de segurança da Bitdefender descobriram quatro vulnerabilidades que afetam múltiplas versões do WebOS, o sistema operacional usado nas smart TVs da LG. As falhas permitem vários graus de acesso não autorizado e controle sobre os modelos afetados, incluindo desvios de autorização, escalonamento de privilégios e injeção de comando.

As TVs vulneráveis podem ser comprometidas também por botnets que as incluem em ataques distribuídos de negação de serviço (DDoS) ou sejam usadas para mineração de criptomoeda.

Os possíveis ataques dependem da capacidade do hacker de criar contas arbitrárias no dispositivo usando um serviço executado nas portas 3000/3001, disponível para conectividade de smartphones, usando um PIN.

A Bitdefender explica que, embora a vulnerabilidade no WebOS possa ser usada apenas em configurações de redes locais (LAN), as varreduras na internet feitas pelo Shodan, mecanismo de busca que permite pesquisar servidores conectados à rede mundial, mostram 91 mil dispositivos expostos que são potencialmente vulneráveis às falhas.

As quatro falhas são resumidas da seguinte forma:

- CVE-2023-6317 – permite que invasores contornem o mecanismo de autorização da TV explorando uma configuração variável, possibilitando a adição de um usuário extra ao aparelho de TV sem a devida autorização.

- CVE-2023-6318 – vulnerabilidade de elevação de privilégio que permite que invasores obtenham acesso root [de administrador de sistema] após o acesso inicial não autorizado fornecido pelo CVE-2023-6317.

- CVE-2023-6319 – envolve injeção de comandos no sistema operacional através da manipulação de uma biblioteca responsável pela exibição de letras de músicas, permitindo a execução de comandos arbitrários.

- CVE-2023-6320 – permite injeção de comando autenticado explorando o endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress, possibilitando a execução de comandos como o usuário dbus, que tem permissões semelhantes ao usuário root.

As vulnerabilidades afetam o webOS 4.9.7 (5.30.40 no LG43UM7000PLA, webOS 04.50.51; 5.5.0 no OLED55CXPUA, webOS 0.36.50; 6.3.3-442 no OLED48C1PUB, webOS 03.33.85; e 7.3.1-43 no OLED55A23LA.

O Bitdefender relatou suas descobertas à LG no dia 1º de novembro de 2023, mas a fornecedora sul-coreana demorou até o dia 22 de março deste ano para lançar as atualizações de segurança. Embora as TVs LG alertem os usuários quando atualizações importantes do WebOS estão disponíveis, elas podem ser adiadas indefinidamente. Portanto, os usuários afetados devem aplicar a atualização imediatamente.

Fonte: cisoadvisor.com.br