Foram divulgadas múltiplas vulnerabilidades de segurança no LG webOS, usado em suas Smart TVs, que poderiam ser exploradas para ignorar a autorização e obter acesso root nos dispositivos.
As descobertas foram feitas pela empresa romena Bitdefender, que descobriu e relatou as falhas em novembro de 2023. Os problemas foram corrigidos pela LG como parte de atualizações lançadas em 22 de março de 2024.
As vulnerabilidades identificadas como CVE-2023-6317 a CVE-2023-6320 e afetam as seguintes versões do webOS:
webOS 4.9.7 - 5.30.40 em execução no LG43UM7000PLA
webOS 5.5.0 - 04.50.51 em execução no OLED55CXPUA
webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 em execução no OLED48C1PUB
webOS 7.3.1-43 (mullet-mebin) - 03.33.85 em execução no OLED55A23LA
Uma breve descrição das falhas é a seguinte:
CVE-2023-6317: Uma vulnerabilidade que permite que um atacante ignore a verificação de PIN e adicione um perfil de usuário privilegiado à TV sem exigir interação do usuário.
CVE-2023-6318: Uma vulnerabilidade que permite que o atacante eleve seus privilégios e obtenha acesso root para controlar o dispositivo.
CVE-2023-6319: Uma vulnerabilidade que permite a injeção de comandos do sistema operacional manipulando uma biblioteca chamada asm responsável por mostrar letras de música.
CVE-2023-6320: Uma vulnerabilidade que permite a injeção de comandos autenticados manipulando no endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress.
A exploração bem-sucedida das falhas poderia permitir que um hacker obtivesse permissões elevadas para o dispositivo, que, por sua vez, pode ser combinado com CVE-2023-6318 e CVE-2023-6319 para obter acesso root, ou com CVE-2023-6320 para executar comandos arbitrários como usuário dbus.
"Embora o serviço vulnerável seja destinado apenas ao acesso LAN, o Shodan, o mecanismo de busca para dispositivos conectados à Internet, identificou mais de 91.000 dispositivos que expõem esse serviço à Internet", disse a Bitdefender. A maioria dos dispositivos está localizada na Coreia do Sul, Hong Kong, EUA, Suécia, Finlândia e Letônia.
Via - THN
Comments