09 de abril de 2024Sala de prensaVulnerabilidad/Seguridad de IoT Se han revelado múltiples vulnerabilidades de seguridad en LG webOS que se ejecuta en sus televisores inteligentes que podrían explotarse para eludir la autorización y obtener acceso de root en los dispositivos. Los hallazgos provienen de la empresa rumana de ciberseguridad Bitdefender, que descubrió e informó las fallas en noviembre de 2023. LG solucionó los problemas como parte de las actualizaciones publicadas el 22 de marzo de 2024. Las vulnerabilidades se rastrean desde CVE-2023-6317 hasta CVE-2023. -6320 e impacta las siguientes versiones de webOS: webOS 4.9.7 – 5.30.40 ejecutándose en LG43UM7000PLA webOS 5.5.0 – 04.50.51 ejecutándose en OLED55CXPUA webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 ejecutándose en OLED48C1PUB webOS 7.3.1-43 (mullet-mebin) – 03.33.85 ejecutándose en OLED55A23LA A continuación se muestra una breve descripción de las deficiencias: CVE-2023-6317: una vulnerabilidad que permite a un atacante omitir la verificación del PIN y agregar un perfil de usuario privilegiado. al televisor sin requerir interacción del usuario CVE-2023-6318: una vulnerabilidad que permite al atacante elevar sus privilegios y obtener acceso raíz para tomar el control del dispositivo CVE-2023-6319: una vulnerabilidad que permite la inyección de comandos del sistema operativo manipulando una biblioteca llamada asm responsable de mostrar letras de música CVE-2023-6320: una vulnerabilidad que permite la inyección de comandos autenticados manipulando el punto final de la API com.webos.service.connectionmanager/tv/setVlanStaticAddress La explotación exitosa de las fallas podría permitir una amenaza actor para obtener permisos elevados para el dispositivo, que, a su vez, se puede encadenar con CVE-2023-6318 y CVE-2023-6319 para obtener acceso de root, o con CVE-2023-6320 para ejecutar comandos arbitrarios como usuario dbus. «Aunque el servicio vulnerable está destinado únicamente al acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91.000 dispositivos que exponen este servicio a Internet», dijo Bitdefender. La mayoría de los dispositivos están ubicados en Corea del Sur, Hong Kong, Estados Unidos, Suecia, Finlandia y Letonia. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.