TV thông minh LG đang chứa lỗ hổng bảo mật cho phép truy cập root
Nhiều lỗ hổng bảo mật đã được tiết lộ trong LG webOS chạy trên TV thông minh có thể bị khai thác để vượt qua ủy quyền và giành quyền truy cập root trên thiết bị.
Các chuyên gia an ninh mạng đã phát hiện và báo cáo các lỗ hổng vào tháng 11 năm 2023. Các sự cố đã được LG khắc phục như một phần của bản cập nhật phát hành vào ngày 22 tháng 3 năm 2024.
Các lỗ hổng được theo dõi từ CVE-2023-6317 đến CVE-2023-6320 và ảnh hưởng đến các phiên bản webOS sau -
webOS 4.9.7 - 5.30.40 chạy trên LG43UM7000PLA
webOS 5.5.0 - 04.50.51 chạy trên OLED55CXPUA
webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 chạy trên OLED48C1PUB
webOS 7.3.1-43 (mullet-mebin) - 03.33.85 chạy trên OLED55A23LA
Một mô tả ngắn gọn về những lỗ hổng bảo mật như sau -
CVE-2023-6317 - Lỗ hổng cho phép kẻ tấn công bỏ qua xác minh mã PIN và thêm hồ sơ người dùng đặc quyền vào TV mà không yêu cầu sự tương tác của người dùng
CVE-2023-6318 - Lỗ hổng cho phép kẻ tấn công nâng cao đặc quyền và giành quyền truy cập root để chiếm quyền kiểm soát thiết bị
CVE-2023-6319 - Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện có tên asm chịu trách nhiệm hiển thị lời bài hát
CVE-2023-6320 - Lỗ hổng cho phép chèn các lệnh đã xác thực bằng cách thao tác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress
Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có được các quyền nâng cao đối với thiết bị, do đó, có thể kết nối với CVE-2023-6318 và CVE-2023-6319 để có quyền truy cập root hoặc với CVE-2023-6320 để chạy các lệnh tùy ý với tư cách là người dùng dbus.
Mặc dù dịch vụ dễ bị tấn công chỉ dành cho truy cập mạng LAN nhưng Shodan, công cụ tìm kiếm dành cho các thiết bị kết nối Internet, đã xác định hơn 91.000 thiết bị tiếp cận dịch vụ này với Internet. Phần lớn các thiết bị được đặt tại Hàn Quốc, Hồng Kông, Mỹ, Thụy Điển, Phần Lan và Latvia.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
- Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
- Thông báo thời gian kì nghỉ công ty năm 2024
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...