Các nhà nghiên cứu Bitdefender phát hiện ra 4 lỗ hổng ảnh hưởng đến nhiều phiên bản WebOS – hệ điều hành được sử dụng cho smart TV LG. Các lỗ hổng cho phép truy cập và kiểm soát trái phép ở các mức độ khác nhau đối với các mẫu sản phẩm bị ảnh hưởng, bao gồm bỏ qua xác thực, leo thang đặc quyền và chèn lệnh.
Bitdefender giải thích rằng, mặc dù dịch vụ LG WebOS tồn tại lỗ hổng chỉ được sử dụng trong cài đặt mạng cục bộ (LAN), nhưng các lần quét Internet của Shodan cho thấy, 91.000 thiết bị có thể bị tấn công.
Các lỗ hổng bao gồm:
- CVE-2023-6317: Cho phép hacker thêm user vào TV mà không cần xác thực.
- CVE-2023-6318: Cho phép hacker giành quyền root sau khi truy cập ban đầu qua CVE-2023-6317.
- CVE-2023-6319: Cho phép thực thi các lệnh tùy ý.
- CVE-2023-6320: Cho phép thực thi lệnh với tư cách là user dbus, có quyền tương tự như user root.
Các lỗ hổng ảnh hưởng đến webOS 4.9.7 – 5.30.40 trên LG43UM7000PLA, webOS 04.50.51 – 5.5.0 trên OLED55CXPUA, webOS 0.36.50 – 6.3.3-442 trên OLED48C1PUB và webOS 03.33.85 – 7.3.1-43 trên OLED48C1PUB OLED55A23LA.
Bitdefender đã báo cáo các lỗ hổng cho LG vào 1/11/2023, nhưng phải đến 22/3/2024, nhà cung cấp mới phát hành các bản cập nhật bảo mật liên quan.
Nguồn: Bleeping Computer