Se descubrieron nuevas vulnerabilidades en los televisores LG que permitirían el acceso no autorizado a los sistemas raíz de los dispositivos, exponiendo potencialmente a miles de dispositivos en todo el mundo. El descubrimiento, realizado como parte de la auditoría en curso de Bitdefender del popular hardware de Internet de las cosas (IoT), se centra en las vulnerabilidades dentro de las versiones 4 a 7 de WebOS utilizadas en los televisores LG. Los problemas identificados permiten el acceso no autorizado al sistema raíz del televisor evitando el mecanismo de autorización. A pesar de estar destinado únicamente al acceso LAN, más de 91.000 dispositivos que exponen este servicio a Internet han sido identificados a través de Shodan, un motor de búsqueda de dispositivos conectados a Internet. Entre las vulnerabilidades identificadas destaca CVE-2023-6317, que permite a atacantes eludir los mecanismos de autorización, otorgando acceso no autorizado al sistema raíz del televisor. Además, CVE-2023-6318 permite a los atacantes escalar su acceso a privilegios de root, lo que agrava la amenaza a la seguridad. Además, CVE-2023-6319 permite la inyección de comandos del sistema operativo, mientras que CVE-2023-6320 facilita la inyección de comandos autenticados. Los modelos afectados incluyen LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB y OLED55A23LA. Se confirma que los dispositivos que ejecutan WebOS versiones 4.9.7 a 7.3.1 están afectados. Lea más sobre las vulnerabilidades de IoT: la mitad de los líderes de TI identifican IoT como punto débil de seguridad «Los atacantes podrían utilizar el Smart TV comprometido como punto de partida para lanzar ataques adicionales contra sistemas o hosts remotos», explicó Thomas Richards, consultor principal de seguridad de Synopsys Software. Grupo de integridad. Según el experto en seguridad, si los atacantes logran obtener acceso administrativo al televisor, la información privada del usuario, incluidas las credenciales de inicio de sesión, también podría verse comprometida. “Los propietarios de televisores inteligentes no deberían tener sus televisores conectados directamente a Internet. Mantener el televisor detrás de un enrutador reducirá la probabilidad de que se vea comprometido, ya que los atacantes remotos no podrán alcanzarlo”, agregó Richards. «Habilitar la opción de actualización automática en el televisor lo mantendrá actualizado con los parches de los proveedores para remediar los riesgos de seguridad». El cronograma de divulgación de Bitdefender reveló el enfoque adoptado, y la notificación al proveedor se produjo el 1 de noviembre de 2023, precediendo por varios meses el lanzamiento del parche el 22 de marzo de 2024. La aplicación rápida de parches y actualizaciones es imprescindible para mitigar los riesgos potenciales, salvaguardar la privacidad del usuario y mejorar la seguridad del dispositivo frente a las amenazas en evolución. Haber de imagen: monticello/Shutterstock.com