Bitdefender 的安全研究人员近日发现了多个版本的 LG Smart TV操作系统 WebOS 存在四个漏洞。这些漏洞允许未经授权的访问和控制受影响的型号,包括授权绕过、提升权限和命令注入。
漏洞利用方式
这些潜在的攻击依赖於通过运行在 3000/3001 端口上的服务,在设备上创建任意账户的能力,该服务用於智能手机连接,通过 PIN 实现。虽然这个存在漏洞的 LG WebOS 服务应仅在局域网(LAN)设置中使用,但 Shodan 互联网扫描显示有 91,000 台暴露的设备可能容易受到这些漏洞的影响。
具体漏洞细节
- CVE-2023-6317 允许攻击者通过利用变量设置绕过电视的授权机制,无需适当授权即可向电视机添加额外用户。
- CVE-2023-6318 是一个提升权限的漏洞,允许攻击者在通过 CVE-2023-6317 提供的初始未授权访问後获取 root 访问权限。
- CVE-2023-6319 涉及通过操作用於显示音乐歌词的库的操纵进行操作系统命令注入,允许执行任意命令。
- CVE-2023-6320 允许通过利用 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行身份验证的命令注入,启用作为 dbus 用户执行命令,该用户具有与 root 用户类似的权限。
这些漏洞影响了多个 WebOS 版本和 LG 智慧电视型号。Bitdefender 於 2023 年 11 月 1 日向 LG 报告了其发现,但直到 2024 年 3 月 22 日,LG 才发布了相关的安全更新。
更新可修正问题
虽然 LG 电视会在有重要 WebOS 更新可用时提醒用户,但这些更新可以无限期地延後。因此,受影响的用户应该通过进入电视的「设定 > 支援 > 软体更新」并选择「检查更新」来应用更新。可以从相同菜单启用自动应用 WebOS 更新。
漏洞的严重性
尽管电视在安全方面不如其他装置关键,但远程命令执行的严重性在本例中仍然可能相当重大,因为它可以让攻击者达到其他更敏感的同网络连接装置。此外,智慧电视经常使用需要账户的应用程序,如串流服务,攻击者可能盗取这些账户以控制它们。最後,易受攻击的电视可以被恶意 Bot 感染,将它们列入分散式拒绝服务(DDoS)攻击或用於加密货币挖矿。