Home Sociedad Los televisores inteligentes LG pueden ser atacados remotamente

Los televisores inteligentes LG pueden ser atacados remotamente

Investigadores de Bitdefender han descubierto cuatro vulnerabilidades en webOS, el sistema operativo que se ejecuta en los televisores inteligentes LG, que puede ofrecer a los atacantes acceso (root) sin restricciones a los dispositivos.

“Aunque el servicio vulnerable está destinado únicamente al acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91.000 dispositivos que exponen este servicio a Internet”, señalaron los investigadores.

Es probable que la cantidad de dispositivos conectados a Internet potencialmente explotables sea menor, ya que LG solucionó las vulnerabilidades el 22 de marzo de 2023 y algunos de los usuarios aplicaron las actualizaciones o configuraron sus televisores para que realicen actualizaciones automáticamente.

CVE-2023-6317 es una omisión rápida en el servicio secondscreen.gateway que se ejecuta en webOS, que puede permitir a los atacantes crear una cuenta privilegiada sin tener que ingresar el PIN de seguridad y sin ninguna interacción del usuario.

CVE-2023-6318 es una vulnerabilidad de inyección de comandos que puede activarse con una serie de solicitudes de autenticación y puede conducir a la ejecución de comandos como usuario root.

CVE-2023-6319 permite la inyección de comandos del sistema operativo y CVE-2023-6320 permite a un atacante inyectar comandos autenticados manipulando un punto final API específico y lograr la ejecución del comando como usuario de dbus (altamente privilegiado).

Las vulnerabilidades afectan a varias versiones de webOS que se ejecutan en varios televisores inteligentes LG:

webOS v4.9.7 a v5.30.40, ejecutándose en LG43UM7000PLA

webOS v4.50.51 a v5.5.0, ejecutándose en OLED55CXPUA

webOS v03.36.50 a v6.3.3-442, ejecutándose en OLED48C1PUB

webOS v3.33.85 a v7.3.1-43, ejecutándose en OLED55A23LA

CVE-2023-6317 permite a un atacante eludir la autenticación para agregarse como usuario, luego escalar privilegios (CVE-2023-6318) para obtener acceso raíz al televisor y, finalmente, usar la inyección de comandos (CVE-2023-6319, CVE- 2023-6320) para potencialmente lanzar malware adicional (por ejemplo, para conectar el dispositivo a una botnet DDoS) o intentar moverse lateralmente a través de la red doméstica inteligente a la que está conectado el televisor.