Scoperte quattro vulnerabilità in WebOs, 90 mila TV LG a rischio: aggiornare subito!

I ricercatori di sicurezza di Bitdefender hanno individuato una serie di gravi vulnerabilità che interessano diverse versioni del sistema operativo WebOS utilizzato nelle smart TV LG.

Queste falle di sicurezza, tracciate con i codici CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 e CVE-2023-6320, consentono a potenziali aggressori di ottenere vari livelli di accesso non autorizzato ai dispositivi interessati, con la possibilità di controllo da remoto.

Il punto di ingresso sfruttabile è un servizio che opera sulle porte 3000/3001, normalmente destinato alla connettività degli smartphone attraverso un PIN. Si tratta di un servizio la cui accessibilità dovrebbe avvenire, secondo quanto indica la stessa LG, solamente su rete locale, ma le scansioni effettuate da Bitdefender con il motore di ricerca Shodan hanno rilevato oltre 91 mila dispositivi che espongono questo servizio su Internet.

La prima vulnerabilità, CVE-2023-6317, permette di aggirare il meccanismo di autorizzazione della TV, consentendo l'aggiunta di un nuovo utente senza che vengano richieste le opportune verifiche.

La vulnerabilità CVE-2023-6318, è invece una falla di escalation dei permessi che, a partire dall'accesso iniziale ottenuto con CVE-2023-6317, consente di guadagnare i permessi di root sul sistema.

La terza vulnerabilità, CVE-2023-6319, abilita l'iniezione di comandi del sistema operativo attraverso la manipolazione di una libreria responsabile della visualizzazione dei testi musicali, permettendo l'esecuzione di comandi arbitrari.

Infine la vulnerabilità CVE-2023-6320 sfrutta un endpoint API per l'inserimento di comandi autenticati, consentendo l'esecuzione di comandi con i privilegi dell'utente dbus, simili a quelli del root.

Queste quattro vulnerabilità sono state riscontrate sui modelli di televisori LG LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB e OLED55A23LA e interessa le versioni di WebOS, presenti su questi televisori, 4.9.7, 5.5.0, 6.3.3-442 e 7.3.1-43.

I ricercatori di Bitdefender hanno segnalato le vulnerabilità a LG lo scorso 1 novembre 2023, rispettando i principi di responsible disclosure. E' stato però necessario attendere fino al 22 marzo 2024 affinché la società emettesse gli aggiornamenti correttivi. 

Per quanto dispositivi come i televisori siano generalmente considerati meno critici per quanto riguarda le pratiche di sicurezza, va comunque tenuto presente che in questo caso specifico siamo davanti alla possibilità di esecuzione di comandi da remoto che può consentire agli aggressori di sfruttare il televisore come punto d'accesso alla rete locale, per compromettere altri dispositivi. Non solo: normalmente sui televisori sono presenti credenziali di account a servizi di streaming, che potrebbero essere in qualche modo sottratte e vendute a terzi o utilizzate per tentativi di credential stuffing. E infine, trattandosi di dispositivi connessi e provvisti di capacità computazionale, non è da escludere l'eventuale compromissione a scopi DDoS o per il mining di criptovalute.

Al momento in cui scriviamo effettuando una ricerca con Shodan vengono rilevati poco meno di 88 mila dispositivi ancora vulnerabili, la maggior parte dei quali localizzati in Corea, Hong Kong, Stati Uniti, Svezia e Finlandia. Vi sono però moltissimi Paesi, Italia compresa, nei quali risultano alcune centinaia di televisori nei quali le vulnerabilità sono ancora presenti.

Il consiglio, per coloro i quali sono in possesso di un televisore LG potenzialmente interessato dal problema, è quello di verificare la presenza di aggiornamenti e procedere alla loro eventuale installazione. E' altresì consigliato attivare la funzionalità di aggiornamento automatico che garantisce così l'installazione dei più recenti aggiornamenti senza che l'utente se ne debba preoccupare.