Les chercheurs en sécurité de Bitdefender ont découvert quatre vulnérabilités affectant plusieurs versions de webOS, le système d’exploitation utilisé dans les téléviseurs intelligents LG.

Les failles permettent divers degrés d’accès et de contrôle non autorisés sur les modèles affectés, y compris les contournements d’autorisation, l’élévation de privilèges et l’injection de commandes.

Les attaques potentielles reposent sur la possibilité de créer des comptes arbitraires sur l’appareil à l’aide d’un service fonctionnant sur les ports 3000/3001, disponible pour la connectivité des smartphones, à l’aide d’un code PIN.

PIN pour se connecter au téléviseur

Bitdefender explique que bien que le service LG webOS vulnérable soit censé être utilisé uniquement dans les paramètres des réseaux locaux (LAN), les analyses Internet de Shodan montrent que 91 000 appareils exposés sont potentiellement vulnérables aux failles.

Exposition du service vulnérable

Les quatre défauts sont résumés comme suit:

  • CVE-2023-6317 permet aux attaquants de contourner le mécanisme d’autorisation du téléviseur en exploitant un paramètre variable, permettant l’ajout d’un utilisateur supplémentaire au téléviseur sans autorisation appropriée.
  • CVE-2023-6318 est une vulnérabilité d’élévation de privilèges qui permet aux attaquants d’obtenir un accès root après l’accès initial non autorisé fourni par CVE-2023-6317.
  • CVE-2023-6319 implique l’injection de commandes du système d’exploitation via la manipulation d’une bibliothèque responsable de l’affichage des paroles de musique, permettant l’exécution de commandes arbitraires.
  • CVE-2023-6320 permet l’injection de commande authentifiée en exploitant le com.webos.le service.connectionmanager/tv / setVlanStaticAddress Point de terminaison de l’API, permettant l’exécution de commandes en tant qu’utilisateur dbus, qui dispose d’autorisations similaires à celles de l’utilisateur root.

Les vulnérabilités ont un impact sur webOS 4.9.7-5.30.40 sur LG43UM7000PLA, webOS 04.50.51-5.5.0 sur OLED55CXPUA, webOS 0.36.50 – 6.3.3-442 sur OLED48C1PUB et sur webOS 03.33.85 – 7.3.1-43 sur OLED55A23LA.

Bitdefender a signalé ses conclusions à LG le 1er novembre 2023, mais il a fallu au fournisseur jusqu’au 22 mars 2024 pour publier les mises à jour de sécurité associées.

Bien que les téléviseurs LG alertent les utilisateurs lorsque des mises à jour webOS importantes sont disponibles, celles-ci peuvent être reportées indéfiniment. Par conséquent, les utilisateurs concernés doivent appliquer la mise à jour en accédant aux Paramètres du téléviseur > Assistance > Mise à jour logicielle et en sélectionnant « Rechercher une mise à jour. »

L’application automatique des mises à jour webOS lorsqu’elles sont disponibles peut être activée à partir du même menu.

Bien que les TÉLÉVISEURS soient moins critiques en termes de sécurité, la gravité de l’exécution des commandes à distance reste potentiellement importante dans ce cas car elle pourrait donner aux attaquants un point de pivot pour atteindre d’autres appareils plus sensibles connectés au même réseau.

De plus, les téléviseurs intelligents ont souvent des applications qui nécessitent des comptes, comme des services de streaming, que l’attaquant pourrait potentiellement voler pour prendre le contrôle de ces comptes.

Enfin, les téléviseurs vulnérables peuvent être compromis par des botnets malveillants qui les enrôlent dans des attaques par déni de service distribué (DDoS) ou utilisés pour le minage de chiffrement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *