Компания Bitdefender опубликовала информацию об уязвимостях в системе безопасности смарт-телевизоров LG, предоставив производителю достаточно времени для устранения проблем. Пользователям телевизоров LG Smart TV с webOS следует проверить, было ли уже установлено обновление от 22 марта этого года, и быстро обновиться, если нет.
По данным Bitdefender, бреши, уже закрытые патчем от LG, позволяли хакерам добавлять новых пользователей, получать root-доступ и таким образом компрометировать всю сеть "умного дома".
Уязвимости, исправленные LG (CVE-2023-6317, CVE-2023-6318, CVE-2023-6319, CVE-2023-6320), затрагивают сервис LG webOS в различных версиях от webOS 4 до webOS 7. Хотя LG webOS разработана как сервис локальной сети, более 91 000 устройств, выходящих в интернет, можно найти с помощью инструмента Shodan, который также используется хакерами. Поэтому Bitdefender предполагает, что число затронутых устройств находится в почти шестизначном диапазоне, и называет это "консервативной оценкой".
На непропатченных устройствах хакеры могут обойти аутентификацию в LG webOS версий от 4 до 7 и добавить себя в качестве нового пользователя. Затем они могут расширить свои права доступа до root-контроля. Используя уязвимости, они могут заразить атакованную домашнюю сеть любым типом вредоносного ПО, например, инструментами для утечки информации или вымогательства, под контролем команды. В случае с уязвимостью CVE-2023-6319 злоумышленник использует манипуляции с библиотекой, которая отвечает за отображение текстов песен.
Bitdefender сообщила об уязвимости LG 1 ноября 2023 года, производитель подтвердил ее наличие 15 ноября 2023 года, а 14 декабря прошлого года вновь попросил дополнительное время для устранения уязвимости. После того как 22 марта 2024 года был выпущен патч, Bitdefender обнародовала информацию сегодня.
Версии webOS, которым грозит угроза
- webOS 4.9.7 - 5.30.40 на LG 43UM7000PLA
- webOS 5.5.0 - 04.50.51 на LG OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 на LG OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) - 03.33.85 на LG OLED55A23LA
Bitdefender предоставляет более подробную информацию об уязвимостях и возможных атаках.
По материалам computerbase.de