Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

Bốn lỗ hổng trong hệ điều hành WebOS chạy trên smart TV của LG đã được phát hiện bởi các nhà nghiên cứu bảo mật. Khi khai thác các lỗ hổng này, tin tặc có thể truy cập và kiểm soát trái phép ở các mức độ khác nhau trên TV bị ảnh hưởng.

Hacker có thể khai thác các lỗ hổng này và sử dụng dịch vụ chạy trên cổng 3000/3001, hiện được dùng để kết nối điện thoại thông minh bằng mã PIN, để tạo tài khoản tùy ý trên thiết bị.

Bốn lỗ hổng trên smart TV của LG được nhóm nghiên cứu đưa ra gồm:

CVE-2023-6317: Cho phép kẻ tấn công bỏ qua cơ chế phân quyền của TV và thêm người dùng mà không cần đến sự đồng ý của người dùng.

CVE-2023-6318: Giúp tin tặc giành quyền truy cập root sau khi thực hiện CVE-2023-6317.

CVE-2023-6319: Chèn lệnh vào hệ điều hành và thực thi lệnh tùy ý.

CVE-2023-6320: Khai thác API để thực thi lệnh với tư cách là người dùng dbus, một quyền tương tự root.

Theo các chuyên gia bảo mật, có khoảng 91.000 thiết bị LG dính lỗ hổng. Các phiên bản bị ảnh hưởng gồm:

-WebOS 4.9.7 - 5.30.40 chạy trên dòng TV 43UM7000PLA

-WebOS 04.50.51 - 5.5.0 trên TV OLED55CXPUA.

-WebOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB.

-WebOS 03.33.85 - 7.3.1-43 trên OLED48C1PUB, OLED55A23LA.

Công ty bảo mật phát hiện lỗ hỗng cũng cho biết đã báo cho LG sau khi phát hiện lỗ hổng cuối năm ngoái. Tuy vậy, phải đến cuối tháng 3, LG mới ra bản cập nhật đầu tiên để khắc phục. Người dùng có thể vào Cài đặt > Hỗ trợ > Cập nhật phần mềm > Kiểm tra cập nhật.

LG hiện chưa đưa ra bình luận nào.

Theo Bleeping Computer, kẻ xấu có thể lợi dụng vấn đề bảo mật trên TV làm điểm tấn công thiết bị khác kết nối cùng một mạng, đánh cắp những tài khoản trực tuyến, và làm botnet (mạng máy tính ma) cho phương thức tấn công từ chối dịch vụ DDoS hoặc bị âm thầm cài đặt phần mềm đào tiền số.