Los Smart Tv LG con webOS son vulnerables al hacking

Iniciado por AXCESS, Abril 10, 2024, 06:34:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 10, 2024, 06:34:07 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Bitdefender descubrieron múltiples vulnerabilidades en LG webOS que se ejecutan en televisores inteligentes que podrían explotarse para evitar la autorización y obtener acceso de root en los dispositivos.

Las vulnerabilidades descubiertas por los investigadores afectan las versiones 4 a 7 de WebOS que se ejecutan en televisores LG.

"WebOS ejecuta un servicio en los puertos 3000/3001 (HTTP/HTTPS/WSS) que utiliza la aplicación del teléfono inteligente LG ThinkQ para controlar el televisor. Para configurar la aplicación, el usuario debe ingresar un código PIN en la pantalla del televisor". "Un error en el administrador de cuentas permite a un atacante omitir por completo la verificación del PIN y crear un perfil de usuario privilegiado".

Los investigadores señalaron que a pesar de que el servicio vulnerable está destinado únicamente al acceso LAN, al consultar a Shodan identificaron más de 91.000 dispositivos que exponen el servicio a Internet. En ese momento, el número de dispositivos expuestos disminuyó a 88.000. La mayoría de los dispositivos con acceso a Internet se encuentran en Corea del Sur, Hong Kong, Estados Unidos, Suecia y Finlandia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación, se muestra la lista de vulnerabilidades descubiertas por los expertos en noviembre de 2023:

     CVE-2023-6317: un problema de omisión de autenticación que puede aprovecharse para omitir la verificación de PIN y agregar un perfil de usuario privilegiado al televisor sin requerir la interacción del usuario.

     CVE-2023-6318: un problema de elevación de privilegios que puede aprovecharse para elevar los privilegios y obtener acceso de root para tomar el control del dispositivo.

     CVE-2023-6319: una vulnerabilidad que permite la inyección de comandos del sistema operativo mediante la manipulación de una biblioteca llamada asm responsable de mostrar letras de música.

     CVE-2023-6320: una vulnerabilidad que permite la inyección de comandos autenticados manipulando el punto final de la API com.webos.service.connectionmanager/tv/setVlanStaticAddress

Las vulnerabilidades afectan a las siguientes versiones de webOS:

     webOS 4.9.7 – 5.30.40 ejecutándose en LG43UM7000PLA

     webOS 5.5.0 – 04.50.51 ejecutándose en OLED55CXPUA

     webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 ejecutándose en OLED48C1PUB

     webOS 7.3.1-43 (mullet-mebin) – 03.33.85 ejecutándose en OLED55A23LA

A continuación, se muestra el cronograma de divulgación:

     01 de noviembre de 2023: Divulgación del proveedor

     15 de noviembre de 2023: el proveedor confirma las vulnerabilidades

     14 de diciembre de 2023: el proveedor solicita una extensión

     22 de marzo de 2024: lanzamiento del parche

     9 de abril de 2024: publicación pública de este informe.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario