Более 91 000 телевизоров LG с webOS уязвимы для взлома.

Исследователи обнаружили несколько уязвимостей в LG webOS, запущенной на смарт-телевизорах, которые могут позволить злоумышленникам получить root-доступ к устройствам. Исследователи из Bitdefender обнаружили несколько уязвимостей в LG webOS, работающей на смарт-телевизорах, которые могут быть использованы для обхода авторизации и получения root-доступа к устройствам. Обнаруженные уязвимости влияют на версии WebOS с 4 по 7, работающие на телевизорах LG.

Согласно сообщению:

"WebOS запускает службу на портах 3000/3001 (HTTP/HTTPS/WSS), которая используется приложением LG ThinkQ на смартфоне для управления телевизором. Чтобы настроить приложение, пользователю необходимо ввести PIN-код на экране телевизора".

Исследователи указали, что несмотря на то, что уязвимая служба предназначена только для доступа к LAN, запрос в Shodan выявил более 91 000 устройств, которые предоставляют доступ к этой службе через интернет. В настоящее время количество уязвимых устройств сократилось до 88 000. Большинство устройств, обращающихся в интернет, находятся в Южной Корее, Гонконге, США, Швеции и Финляндии.

Список уязвимостей:

• CVE-2023-6317 - Проблема обхода аутентификации
• CVE-2023-6318 - Проблема повышения привилегий
• CVE-2023-6319 - Уязвимость, позволяющая внедрять операционные системные команды
• CVE-2023-6320 - Уязвимость, позволяющая вставлять аутентифицированные команды

Уязвимости влияют на следующие версии webOS: webOS 4.9.7 - 5.30.40, webOS 5.5.0 - 04.50.51, webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50, webOS 7.3.1-43 (mullet-mebin) - 03.33.85.

Хронология раскрытия:

• 1 ноября 2023 года: Раскрытие поставщика
• 15 ноября 2023 года: Поставщик подтверждает уязвимости
• 14 декабря 2023 года: Поставщик просит продление
• 22 марта 2024 года: Выпуск патча
• 9 апреля 2024 года: Публичный выпуск этого отчета

Подписывайтесь на меня в Twitter: @securityaffairs и Facebook и Mastodon Pierluigi Paganini (SecurityAffairs - взлом, смарт-телевизоры).