Более 90.000 телевизоров LG хакеры могут получить root-доступ. Обнаружено сразу четыре уязвимости в WebOS с 4 по 7 версию

В умных телевизорах компании LG обнаружены уязвимости, позволяющие мошенникам получить root-доступ. По всему миру обнаружены уже более 90 тысяч таких устройств, работающих под управлением специализированной операционной системы WebOS с 4 по 7 версии. Специалисты обнаружили более 4 уязвимостей, которые охватывают устройства работающие в локальных сетях или при подключении к интернету. На данный момент специалисты сузили круг устройств до 91 тысячи, которые могут подвергнуться атакам, но как избавиться от проблемы не сообщается.

Мошенники могут получить доступ к некоторым моделям телевизоров без ввода данных регистрации, а в дальнейшем получить полный доступ с исключением пользователей из управления. А с внедрением определенных команд, мошенники могут получить доступ к учетным данным различных аккаунтов и банковским реквизитам, если проводились платежи с телевизора. Уязвимость связана с подключением смартфона к телевизору, но есть возможность избежать ввода PIN кода. Исследователи выделяют 4 основных уязвимости с большим рейтингом по шкале CVSS. Уязвимость CVE-2023-6317 имеет баллы в 7.2 и позволяет мошенникам используя свои модификаторы в настройках, создать новый аккаунт без ввода учетных данных. Уязвимость CVE-2023-6318 взаимосвязана с CVE-2023-6317 и позволяет повысить привилегии созданному аккаунту для получения root-прав. CVE-2023-6319 также имеет 9,1 балла по CVSS, как и предыдущая. Позволяет в момент вывода теста песен, вводить определенные команды для запуска консоли. Уязвимость CVE-2023-6320 позволяет управлять устройством сервисным пользователем с правами похожими на root.

Мошенники могут получить доступ к различным моделям телевизоров работающих на операционной системе WebOS с версиями 03.33.85 по 7.3.1-43.

Компания обнаружившая уязвимости уже уведомила производителя телевизоров еще в конце 2023 года, но исправления вышли уже в конце марта этого года. Обычно телевизоры самостоятельно подхватывают обновления из сети, но в случаях, когда мошенники уже перехватили доступ, они могут быть отключены, поэтому рекомендуется самостоятельно запустить обновление.

Источник: https://www.bitdefender.com