WebOS 漏洞导致超过 9 万 LG Smart TV 用户受攻击威胁

游研社 • 2024年4月10日 14:23 • 投稿

Bitdefender 的安全研究人员近日发现了多个版本的 LG Smart TV操作系统 WebOS 存在四个漏洞。这些漏洞允许未经授权的访问和控制受影响的型号，包括授权绕过、提升权限和命令注入。

漏洞利用方式

这些潜在的攻击依赖于通过运行在 3000/3001 端口上的服务，在设备上创建任意账户的能力，该服务用于智能手机连接，通过 PIN 实现。虽然这个存在漏洞的 LG WebOS 服务应仅在局域网（LAN）设置中使用，但 Shodan 互联网扫描显示有 91,000 台暴露的设备可能容易受到这些漏洞的影响。

具体漏洞细节

CVE-2023-6317 允许攻击者通过利用变量设置绕过电视的授权机制，无需适当授权即可向电视机添加额外用户。
CVE-2023-6318 是一个提升权限的漏洞，允许攻击者在通过 CVE-2023-6317 提供的初始未授权访问后获取 root 访问权限。
CVE-2023-6319 涉及通过操作用于显示音乐歌词的库的操纵进行操作系统命令注入，允许执行任意命令。
CVE-2023-6320 允许通过利用 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行身份验证的命令注入，启用作为 dbus 用户执行命令，该用户具有与 root 用户类似的权限。

这些漏洞影响了多个 WebOS 版本和 LG 智能电视型号。 Bitdefender 于 2023 年 11 月 1 日向 LG 报告了其发现，但直到 2024 年 3 月 22 日，LG 才发布了相关的安全更新。

更新可修正问题

虽然 LG 电视会在有重要 WebOS 更新可用时提醒用户，但这些更新可以无限期地延后。因此，受影响的用户应该通过进入电视的「设置 > 支持 >软件更新」并选择「检查更新」来应用更新。可以从相同菜单启用自动应用 WebOS 更新。

漏洞的严重性

尽管电视在安全方面不如其他设备关键，但远程命令执行的严重性在本例中仍然可能相当重大，因为它可以让攻击者达到其他更敏感的同网络连接装置。此外，智能电视经常使用需要账户的应用程序，如串流服务，攻击者可能盗取这些账户以控制它们。最后，易受攻击的电视可以被恶意 Bot 感染，将它们列入分布式拒绝服务（DDoS）攻击或用于加密货币挖矿。