Bitdefender, una firma rumana de ciberseguridad, ha revelado múltiples vulnerabilidades de seguridad en el sistema operativo webOS de LG, utilizado en sus televisores inteligentes. Estas vulnerabilidades podrían ser explotadas para eludir la autorización y obtener acceso root en los dispositivos.
Las fallas fueron descubiertas y reportadas por Bitdefender en noviembre de 2023. LG tomó medidas correctivas y lanzó actualizaciones el 22 de marzo de 2024 para abordar estos problemas.
Detalles de las Vulnerabilidades
Las vulnerabilidades, identificadas como CVE-2023-6317 a través de CVE-2023-6320, afectan a varias versiones de webOS, incluyendo:
- webOS 4.9.7 – 5.30.40 en LG43UM7000PLA
- webOS 5.5.0 – 04.50.51 en OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 en OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85 en OLED55A23LA
Descripción de las Vulnerabilidades
- CVE-2023-6317: Permite a un atacante evitar la verificación de PIN y agregar un perfil de usuario privilegiado al televisor sin requerir interacción del usuario.
- CVE-2023-6318: Permite al atacante elevar sus privilegios y obtener acceso root para tomar el control del dispositivo.
- CVE-2023-6319: Permite la inyección de comandos del sistema operativo mediante la manipulación de una biblioteca llamada asm, que es responsable de mostrar letras de música.
- CVE-2023-6320: Permite la inyección de comandos autenticados mediante la manipulación del punto final de API com.webos.service.connectionmanager/tv/setVlanStaticAddress.
Impacto y Alcance
La explotación exitosa de estas fallas podría permitir a un actor malicioso obtener permisos elevados en el dispositivo. Estas vulnerabilidades podrían combinarse para obtener acceso root o ejecutar comandos arbitrarios en el televisor.
Advertencia sobre Exposición a Internet
Aunque el servicio vulnerable está destinado solo para acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91,000 dispositivos que exponen este servicio a la red. La mayoría de los dispositivos se encuentran en Corea del Sur, Hong Kong, EE. UU., Suecia, Finlandia y Letonia.
Conclusión
Es esencial que los usuarios de los televisores LG afectados por estas vulnerabilidades apliquen las actualizaciones más recientes proporcionadas por el fabricante para garantizar la seguridad de sus dispositivos. Además, se recomienda encarecidamente que los dispositivos se mantengan dentro de redes seguras y no se expongan innecesariamente a Internet para reducir el riesgo de explotación por parte de actores maliciosos.