Các nhà nghiên cứu bảo mật tại Bitdefender đã phát hiện ra bốn lỗ hổng nghiêm trọng ảnh hưởng đến nhiều phiên bản của WebOS, hệ điều hành mà LG Smart TV sử dụng.
Những lỗ hổng này cho phép kẻ tấn công truy cập và kiểm soát trái phép các mẫu TV ở các mức độ khác nhau, bao gồm vượt qua xác thực, lạm dụng đặc quyền và thực thi các lệnh độc hại.
Các cuộc tấn công tiềm ẩn phụ thuộc vào khả năng tạo tài khoản tùy ý trên thiết bị bằng cách sử dụng dịch vụ chạy trên cổng 3000/3001, vốn được sử dụng để kết nối với điện thoại thông minh bằng cách sử dụng mã PIN.
Bitdefender cảnh báo rằng mặc dù dịch vụ WebOS của LG bị lỗ hổng chỉ nên được sử dụng trên mạng LAN (mạng cục bộ), các lượt quét internet của Shodan cho thấy 91.000 thiết bị bị lộ ra ngoài có khả năng bị tấn công do lỗ hổng này.
Bốn lỗ hổng được tóm tắt như sau:
- CVE-2023-6317: Cho phép kẻ tấn công vượt qua cơ chế xác thực của TV bằng cách khai thác cài đặt biến, cho phép thêm một tài khoản người dùng sử dụng TV mà không cần sự cho phép của chính chủ.
- CVE-2023-6318: Là lỗ hổng lạm dụng quyền truy cập, cho phép kẻ tấn công giành quyền truy cập gốc sau khi đã truy cập trái phép ban đầu thông qua lỗi CVE-2023-6317.
- CVE-2023-6319: Liên quan đến việc tiêm chèn lệnh hệ điều hành thông qua thao tác thư viện hiển thị lời nhạc, cho phép kẻ tấn công thực thi các lệnh tùy ý.
- CVE-2023-6320: Cho phép chèn lệnh được xác thực bằng cách khai thác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress, cho phép thực thi lệnh với tư cách người dùng dbus, người dùng này có quyền hạn tương tự như người dùng root (người dùng gốc).
Các lỗ hổng này ảnh hưởng đến webOS phiên bản 4.9.7 - 5.30.40 trên LG43UM7000PLA, webOS 04.50.51 - 5.5.0 trên OLED55CXPUA, webOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB và webOS 03.33.85 - 7.3.1-43 trên OLED55A23LA.
Bitdefender đã báo cáo các phát hiện của mình cho LG vào ngày 1 tháng 11 năm 2023, nhưng phải đến ngày 22 tháng 3 năm 2024, nhà sản xuất mới phát hành bản cập nhật bảo mật liên quan.
Mặc dù TV LG sẽ cảnh báo người dùng khi có bản cập nhật WebOS quan trọng, nhưng chúng có thể bị trì hoãn vô thời hạn. Do đó, người dùng bị ảnh hưởng nên cài bản cập nhật bằng cách vào Cài đặt > Hỗ trợ > Cập nhật phần mềm và chọn "Kiểm tra cập nhật".
Người dùng cũng có thể bật tính năng tự động cập nhật WebOS khi có phiên bản mới trong cùng menu đó.
Mặc dù TV ít có nguy hiểm về bảo mật ở mức độ nghiêm trọng, lỗ hổng cho phép thực thi lệnh từ xa vẫn gây nguy hiểm vì có thể cho phép kẻ tấn công lợi dụng điều này để tấn công các thiết bị khác trên cùng mạng.
Ngoài ra, Smart TV thường có các ứng dụng yêu cầu tài khoản, chẳng hạn như các dịch vụ xem phim trực tuyến. Kẻ tấn công có thể đánh cắp các tài khoản này để chiếm quyền kiểm soát.
Cuối cùng, TV bị xâm nhập có thể bị đưa vào mạng lưới botnet để thực hiện tấn công DDos (tấn công mạng làm ngắt quãng hoạt động) hoặc đào tiền ảo.
Theo BleepingComputer.
