Investigadores de Bitdefender han descubierto cuatro vulnerabilidades en webOS, el sistema operativo que se ejecuta en los televisores inteligentes LG, que puede ofrecer a los atacantes acceso (root) sin restricciones a los dispositivos.
“Aunque el servicio vulnerable está destinado únicamente al acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91.000 dispositivos que exponen este servicio a Internet”, señalaron los investigadores.
Es probable que la cantidad de dispositivos conectados a Internet potencialmente explotables sea menor, ya que LG solucionó las vulnerabilidades el 22 de marzo de 2023 y algunos de los usuarios aplicaron las actualizaciones o configuraron sus televisores para que realicen actualizaciones automáticamente.
CVE-2023-6317 es una omisión rápida en el servicio secondscreen.gateway que se ejecuta en webOS, que puede permitir a los atacantes crear una cuenta privilegiada sin tener que ingresar el PIN de seguridad y sin ninguna interacción del usuario.
CVE-2023-6318 es una vulnerabilidad de inyección de comandos que puede activarse con una serie de solicitudes de autenticación y puede conducir a la ejecución de comandos como usuario root.
CVE-2023-6319 permite la inyección de comandos del sistema operativo y CVE-2023-6320 permite a un atacante inyectar comandos autenticados manipulando un punto final API específico y lograr la ejecución del comando como usuario de dbus (altamente privilegiado).
Las vulnerabilidades afectan a varias versiones de webOS que se ejecutan en varios televisores inteligentes LG:
webOS v4.9.7 a v5.30.40, ejecutándose en LG43UM7000PLA
webOS v4.50.51 a v5.5.0, ejecutándose en OLED55CXPUA
webOS v03.36.50 a v6.3.3-442, ejecutándose en OLED48C1PUB
webOS v3.33.85 a v7.3.1-43, ejecutándose en OLED55A23LA
CVE-2023-6317 permite a un atacante eludir la autenticación para agregarse como usuario, luego escalar privilegios (CVE-2023-6318) para obtener acceso raíz al televisor y, finalmente, usar la inyección de comandos (CVE-2023-6319, CVE- 2023-6320) para potencialmente lanzar malware adicional (por ejemplo, para conectar el dispositivo a una botnet DDoS) o intentar moverse lateralmente a través de la red doméstica inteligente a la que está conectado el televisor.