Nhiều lỗ hổng bảo mật đã được phát hiện trong LG webOS chạy trên các chiếc TV thông minh có thể bị khai thác để vượt qua xác thực và đạt quyền truy cập root trên các thiết bị.
Những phát hiện này đến từ công ty an ninh mạng Romania là Bitdefender, đã phát hiện và báo cáo các lỗ hổng vào tháng 11 năm 2023. Các vấn đề đã được LG khắc phục trong các bản cập nhật phát hành vào ngày 22 tháng 3 năm 2024.
Các lỗ hổng được theo dõi có mã định danh là CVE-2023-6317 và CVE-2023-6320 và ảnh hưởng đến các phiên bản webOS sau đây:
- webOS 4.9.7 – 5.30.40 chạy trên LG43UM7000PLA
- webOS 5.5.0 – 04.50.51 chạy trên OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 chạy trên OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85 chạy trên OLED55A23LA
Ảnh hưởng của các lỗ hổng:
- CVE-2023-6317 – Một lỗ hổng cho phép kẻ tấn công vượt qua xác minh PIN và thêm một hồ sơ người dùng có đặc quyền vào bộ đầu thu TV mà không cần tương tác của người dùng
- CVE-2023-6318 – Một lỗ hổng cho phép kẻ tấn công nâng cao đặc quyền và đạt quyền truy cập root để kiểm soát thiết bị
- CVE-2023-6319 – Một lỗ hổng cho phép chèn lệnh hệ điều hành bằng cách thao tác một thư viện có tên asm chịu trách nhiệm hiển thị lời bài hát
- CVE-2023-6320 – Một lỗ hổng cho phép tiêm lệnh xác thực bằng cách thao tác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress
Khi khai thác thành công các lỗ hổng, kẻ đe dọa có thể đạt được quyền truy cập cao hơn vào thiết bị, có thể kết hợp với CVE-2023-6318 và CVE-2023-6319 để đạt quyền truy cập root, hoặc với CVE-2023-6320 để thực thi các lệnh tùy ý dưới tên người dùng dbus.
Bitdefender tiết lộ: Lỗ hổng của LG Smart TV “Mặc dù dịch vụ có lỗ hổng này chỉ dành cho truy cập LAN, Shodan, công cụ tìm kiếm cho các thiết bị kết nối Internet, đã xác định hơn 91.000 thiết bị tiết lộ dịch vụ này ra Internet.”
