top of page
Buscar

Vulnerabilidades críticas em Smart Tv da LG permitem acesso root ao LG webOS

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 9 de abr. de 2024
  • 2 min de leitura
ree

Foram divulgadas múltiplas vulnerabilidades de segurança no LG webOS, usado em suas Smart TVs, que poderiam ser exploradas para ignorar a autorização e obter acesso root nos dispositivos.


As descobertas foram feitas pela empresa romena Bitdefender, que descobriu e relatou as falhas em novembro de 2023. Os problemas foram corrigidos pela LG como parte de atualizações lançadas em 22 de março de 2024.


As vulnerabilidades identificadas como CVE-2023-6317 a CVE-2023-6320 e afetam as seguintes versões do webOS:


  • webOS 4.9.7 - 5.30.40 em execução no LG43UM7000PLA

  • webOS 5.5.0 - 04.50.51 em execução no OLED55CXPUA

  • webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 em execução no OLED48C1PUB

  • webOS 7.3.1-43 (mullet-mebin) - 03.33.85 em execução no OLED55A23LA


Uma breve descrição das falhas é a seguinte:


CVE-2023-6317: Uma vulnerabilidade que permite que um atacante ignore a verificação de PIN e adicione um perfil de usuário privilegiado à TV sem exigir interação do usuário.


CVE-2023-6318: Uma vulnerabilidade que permite que o atacante eleve seus privilégios e obtenha acesso root para controlar o dispositivo.


CVE-2023-6319: Uma vulnerabilidade que permite a injeção de comandos do sistema operacional manipulando uma biblioteca chamada asm responsável por mostrar letras de música.


CVE-2023-6320: Uma vulnerabilidade que permite a injeção de comandos autenticados manipulando no endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress.


A exploração bem-sucedida das falhas poderia permitir que um hacker obtivesse permissões elevadas para o dispositivo, que, por sua vez, pode ser combinado com CVE-2023-6318 e CVE-2023-6319 para obter acesso root, ou com CVE-2023-6320 para executar comandos arbitrários como usuário dbus.


ree

"Embora o serviço vulnerável seja destinado apenas ao acesso LAN, o Shodan, o mecanismo de busca para dispositivos conectados à Internet, identificou mais de 91.000 dispositivos que expõem esse serviço à Internet", disse a Bitdefender. A maioria dos dispositivos está localizada na Coreia do Sul, Hong Kong, EUA, Suécia, Finlândia e Letônia.


Via - THN

 
 
 

Comentários

bottom of page