В LG WebOS, работающей на смарт-телевизорах LG, были обнаружены многочисленные уязвимости в системе безопасности, которые могут быть использованы для обхода авторизации и получения root-доступа на устройствах.
Выводы получены от румынской компании по кибербезопасности Bitdefender, которая обнаружила недостатки и сообщила о них в ноябре 2023 года. Проблемы были исправлены LG в рамках обновлений, выпущенных 22 марта 2024 года.
Уязвимости отслеживаются с CVE-2023-6317 по CVE-2023-6320 и влияют на следующие версии WebOS -
Краткое описание недостатков выглядит следующим образом -
Успешное использование недостатков может позволить субъекту угрозы получить повышенные разрешения на устройство, которое, в свою очередь, может быть подключено к CVE-2023-6318 и CVE-2023-6319 для получения root-доступа или CVE-2023-6320 для запуска произвольных команд от имени пользователя dbus.
"Хотя уязвимый сервис предназначен только для доступа по локальной сети, Shodan, поисковая система для устройств, подключенных к Интернету, идентифицировала более 91 000 устройств, которые предоставляют доступ к этому сервису через Интернет", - сказал Bitdefender. Большинство устройств расположены в Южной Корее, Гонконге, США, Швеции, Финляндии и Латвии.
Выводы получены от румынской компании по кибербезопасности Bitdefender, которая обнаружила недостатки и сообщила о них в ноябре 2023 года. Проблемы были исправлены LG в рамках обновлений, выпущенных 22 марта 2024 года.
Уязвимости отслеживаются с CVE-2023-6317 по CVE-2023-6320 и влияют на следующие версии WebOS -
- WebOS 4.9.7 - 5.30.40 работает на LG43UM7000PLA
- WebOS 5.5.0 - 04.50.51 работает на OLED55CXPUA
- WebOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 работает на OLED48C1PUB
- WebOS 7.3.1-43 (mullet-mebin) - 03.33.85 работает на OLED55A23LA
Краткое описание недостатков выглядит следующим образом -
- CVE-2023-6317 - Уязвимость, которая позволяет злоумышленнику обойти проверку PIN-кода и добавить привилегированный профиль пользователя к телевизору, не требуя взаимодействия с пользователем
- CVE-2023-6318 - уязвимость, которая позволяет злоумышленнику повысить свои привилегии и получить root-доступ для получения контроля над устройством
- CVE-2023-6319 - Уязвимость, которая позволяет вводить команды операционной системы путем манипулирования библиотекой с именем asm, отвечающей за отображение текстов песен
- CVE-2023-6320 - Уязвимость, которая позволяет вводить аутентифицированные команды путем манипулирования com.webos.конечная точка API service.connectionmanager/tv/setVlanStaticAddress
Успешное использование недостатков может позволить субъекту угрозы получить повышенные разрешения на устройство, которое, в свою очередь, может быть подключено к CVE-2023-6318 и CVE-2023-6319 для получения root-доступа или CVE-2023-6320 для запуска произвольных команд от имени пользователя dbus.
"Хотя уязвимый сервис предназначен только для доступа по локальной сети, Shodan, поисковая система для устройств, подключенных к Интернету, идентифицировала более 91 000 устройств, которые предоставляют доступ к этому сервису через Интернет", - сказал Bitdefender. Большинство устройств расположены в Южной Корее, Гонконге, США, Швеции, Финляндии и Латвии.
