LG’nin akıllı televizyonlarında çalışan webOS’ta, yetkilendirmeyi atlamak ve cihazlarda kök erişimi elde etmek için kullanılabilecek çok sayıda güvenlik açığı ortaya çıktı.
Bulgular, kusurları Kasım 2023’te keşfedip bildiren Rumen siber güvenlik firması Bitdefender’dan geldi. Sorunlar, 22 Mart 2024’te yayınlanan güncellemelerin bir parçası olarak LG tarafından düzeltildi.
Güvenlik açıkları CVE-2023-6317’den CVE-2023-6320’ye kadar izleniyor ve aşağıdaki webOS sürümlerini etkiliyor:
- LG43UM7000PLA’da çalışan webOS 4.9.7 – 5.30.40
- OLED55CXPUA’da çalışan webOS 5.5.0 – 04.50.51
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 OLED48C1PUB üzerinde çalışıyor
- webOS 7.3.1-43 (kefal-mebin) – 03.33.85, OLED55A23LA’da çalışıyor
Eksikliklerin kısa bir açıklaması aşağıdaki gibidir:
- CVE-2023-6317 – Bir saldırganın PIN doğrulamasını atlamasına ve kullanıcı etkileşimi gerektirmeden TV setine ayrıcalıklı bir kullanıcı profili eklemesine olanak tanıyan bir güvenlik açığı
- CVE-2023-6318 – Saldırganın ayrıcalıklarını yükseltmesine ve cihazın kontrolünü ele geçirmek için root erişimi elde etmesine olanak tanıyan bir güvenlik açığı
- CVE-2023-6319 – Müzik sözlerini göstermekten sorumlu olan asm adlı kütüphaneyi manipüle ederek işletim sistemine komut enjeksiyonuna izin veren bir güvenlik açığı
- CVE-2023-6320 – Com.webos.service.connectionmanager/tv/setVlanStaticAddress API uç noktasını değiştirerek kimliği doğrulanmış komutların eklenmesine izin veren bir güvenlik açığı
Kusurların başarılı bir şekilde kullanılması, bir tehdit aktörünün cihaza yönelik yükseltilmiş izinler elde etmesine olanak tanıyabilir ve bu izinler, kök erişimi elde etmek için CVE-2023-6318 ve CVE-2023-6319 veya CVE-2023-6320 ile zincirlenebilir. dbus kullanıcısı olarak isteğe bağlı komutları çalıştırmak için.
Bitdefender, “Güvenlik açığı bulunan hizmet yalnızca LAN erişimi için tasarlanmış olsa da, İnternet bağlantılı cihazlara yönelik arama motoru Shodan, bu hizmeti İnternet’e açan 91.000’den fazla cihazı tespit etti.” söz konusu. Cihazların çoğunluğu Güney Kore, Hong Kong, ABD, İsveç, Finlandiya ve Letonya’da bulunmaktadır.
