關(guān)鍵詞:程序漏洞
安全研究人員發(fā)現(xiàn)了四個(gè)漏洞���,影響多個(gè)版本的 WebOS(LG 智能電視使用的操作系統(tǒng))。這些缺陷可以對受影響的模型進(jìn)行不同程度的未經(jīng)授權(quán)的訪問和控制��,包括授權(quán)繞過�����、權(quán)限升級和命令注入����。
潛在的攻擊取決于使用在端口 3000/3001 上運(yùn)行的服務(wù)在設(shè)備上創(chuàng)建任意帳戶的能力���,該服務(wù)可用于使用 PIN 的智能手機(jī)連接���。
連接電視的 PIN
安全研究人員解釋說����,雖然易受攻擊的 LG WebOS 服務(wù)應(yīng)該只在局域網(wǎng) (LAN) 設(shè)置中使用���,但 Shodan 互聯(lián)網(wǎng)掃描顯示�����, 91000 個(gè)暴露的設(shè)備可能容易受到這些缺陷的影響����。
這四個(gè)缺陷總結(jié)如下:
● CVE-2023-6317允許攻擊者利用變量設(shè)置繞過電視的授權(quán)機(jī)制���,從而在沒有適當(dāng)授權(quán)的情況下向電視機(jī)添加額外的用戶���。
● CVE-2023-6318是一個(gè)特權(quán)提升漏洞�,允許攻擊者在 CVE-2023-6317 提供的初始未經(jīng)授權(quán)的訪問之后獲得 root 訪問權(quán)限���。
● CVE-2023-6319涉及通過操縱負(fù)責(zé)顯示音樂歌詞的庫來注入操作系統(tǒng)命令��,從而允許執(zhí)行任意命令���。
● CVE-2023-6320允許通過利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端點(diǎn)進(jìn)行經(jīng)過身份驗(yàn)證的命令注入,從而以 dbus 用戶身份執(zhí)行命令��,該用戶具有與 root 用戶類似的權(quán)限���。
這些漏洞影響 LG43UM7000PLA上的 webOS 4.9.7–5.30.40���、OLED55CXPUA上的 webOS 04.50.51–5.5.0、OLED48C1PUB 上的 webOS 0.36.50–6.3.3-442 以及 OLED48C1PUB上的 webOS 03.33.85–7.3.1-43 OLED55A23LA��。
安全研究人員于 2023 年 11 月 1 日向 LG 報(bào)告了其調(diào)查結(jié)果��,但該供應(yīng)商直到 2024 年 3 月 22 日才發(fā)布相關(guān)安全更新���。
盡管 LG 電視會(huì)在重要的 WebOS 更新可用時(shí)提醒用戶����,但這些更新可能會(huì)無限期推遲。因此�����,受影響的用戶應(yīng)通過轉(zhuǎn)到電視的“設(shè)置”>“支持”>“軟件更新”并選擇“檢查更新”來應(yīng)用更新�。可以從同一菜單啟用在可用時(shí)自動(dòng)應(yīng)用 WebOS 更新��。
盡管電視在安全性方面要求不高�����,但在這種情況下���,遠(yuǎn)程命令執(zhí)行的嚴(yán)重性仍不容忽視,因?yàn)樗赡転楣粽咛峁┮粋€(gè)樞紐點(diǎn)���,以到達(dá)連接到同一網(wǎng)絡(luò)的其他更敏感的設(shè)備���。
此外,智能電視通常具有需要帳戶的應(yīng)用程序�,例如流媒體服務(wù),攻擊者可能會(huì)竊取這些帳戶來達(dá)到控制目的。
最后�,易受攻擊的電視可能會(huì)受到惡意軟件僵尸網(wǎng)絡(luò)的危害,這些僵尸網(wǎng)絡(luò)會(huì)將其納入分布式拒絕服務(wù) (DDoS) 攻擊或用于加密貨幣挖礦���。
來源:安全圈
在線咨詢
在線咨詢
0371-63319761