Bitdefender的安全研究团队发现了四个漏洞,对多个版本的WebOS(LG智能电视所使用的操作系统)产生了影响。这些漏洞可能导致未经授权的访问和控制,包括授权绕过、权限提升和命令注入。攻击的潜在威胁源于设备上运行的服务在3000/3001端口上创建任意账户的能力,这些服务可供使用PIN码的智能手机连接。尽管易受攻击的LG WebOS服务应该仅限于局域网(LAN)设置中使用,但Shodan互联网扫描显示有91,000个暴露的设备可能受到这些漏洞的影响。这四个漏洞的摘要如下:
CVE-2023-6317允许攻击者绕过电视的授权机制,向电视添加额外用户,而无需适当授权。
CVE-2023-6318是一个特权提升漏洞,允许攻击者在CVE-2023-6317提供的初始未经授权访问后获得root访问权限。
CVE-2023-6319涉及通过操纵显示音乐歌词的库来注入操作系统命令,从而允许执行任意命令。
CVE-2023-6320允许通过利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API端点进行经过身份验证的命令注入,从而以dbus用户身份执行命令,该用户具有与root用户类似的权限。
这些漏洞影响了LG43UM7000PLA上的WebOS 4.9.7 – 5.30.40、OLED55CXPUA上的WebOS 04.50.51 – 5.5.0、OLED48C1PUB上的WebOS 0.36.50 – 6.3.3-442以及OLED55A23LA上的WebOS 03.33.85 – 7.3.1-43。Bitdefender于2023年11月1日向LG报告了他们的调查结果,但直到2024年3月22日,该供应商才发布了相关的安全更新。尽管LG电视会在重要的WebOS更新可用时提醒用户,但这些更新可能会被无限期地推迟。因此,受影响的用户应该通过转到电视的“设置”>“支持”>“软件更新”,然后选择“检查更新”来应用更新。用户还可以在同一菜单中启用在可用时自动应用WebOS更新的选项。尽管电视在安全性方面不如其他设备重要,但在这种情况下,远程命令执行的严重性仍然值得关注,因为它可能成为攻击者进入同一网络中其他更敏感设备的一个入口点。此外,智能电视通常具有需要账户的应用程序,例如流媒体服务,攻击者可能会窃取这些账户以控制它们。最后,易受攻击的电视可能会成为恶意软件僵尸网络的一部分,这些僵尸网络会将其用于分布式拒绝服务(DDoS)攻击或用于加密货币挖矿。
(来源:bleepingcomputer 图片来源:bleepingcomputer )
