Bitdefender ha anunciado que el pasado octubre identificó 4 vulnerabilidades, 1 de gravedad alta y 3 de gravedad crítica, en el sistema operativo WebOS que emplean los televisores LG. La empresa de software de seguridad, que desarrolla el popular antivirus del mismo nombre, lo comunicó al fabricante el 1 de noviembre y tras cinco meses de espera y una vez que LG ha lanzado parches de seguridad para solventarlas, las ha hecho públicas.
“Hemos encontrado varios problemas que afectan las versiones 4 a 7 de WebOS que se ejecutan en televisores LG. Estas vulnerabilidades nos permiten obtener acceso root en el televisor después de eludir el mecanismo de autorización”, ha señalado Bitdefender en su blog. El llamado acceso root es también conocido como acceso de superusuario, el nivel más alto de privilegio que se puede obtener en un sistema operativo. Un usuario con acceso root tiene control total sobre el sistema y puede realizar cualquier acción.
El agujero de seguridad de menor gravedad, CVE-2023-6317, calificado como alta, permite a un atacante saltarse el mecanismo de autorización de WebOS y añadir un usuario extra al televisor afectado.
CVE-2023-6318, crítica, autoriza al atacante que haya aprovechado la anterior elevar el acceso obtenido a root y así tomar un control completo del televisor.
La tercera vulnerabilidad, CVE-2023-6319, permite la inyección de comandos del sistema operativo a través de una biblioteca responsable de mostrar letras de música. También está calificada como crítica.
Por último, CVE-2023-6320, crítica, deja a un atacante inyectar comandos autenticados manipulando el endpoint de la API. En este caso, com.webos.service.connectionmanager/tv/setVlanStaticAddress. Se trata de un punto de acceso específico en una interfaz de programación de aplicaciones, API por sus siglas en inglés, que permite interactuar con un servicio web o una aplicación para realizar determinadas acciones o acceder a ciertos recursos.
Hay que tener en cuenta que aquí el problema no es únicamente tener un televisor comprometido, sino que al poder tomar un control completo un atacante podría saltar desde este a otros dispositivos conectados en la misma red Wifi.
Bitdefender ha verificado las vulnerabilidades, con diferentes versiones de WebOS, en una gama limitada de televisores LG, pero aquí el factor clave es el sistema operativo y no el modelo de televisor. Son los siguientes:
webOS 4.9.7 – 5.30.40 funcionando en el modelo LG43UM7000PLA.webOS 5.5.0 – 04.50.51 funcionando en OLED55CXPUA.webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 funcionando en OLED48C1PUB.webOS 7.3.1-43 (mullet-mebin) – 03.33.85 en el modelo OLED55A23LA.
Si tienes un televisor LG que utiliza algunas de las versiones de WebOS afectadas, debes actualizar desde el menú de Ajustes del sistema operativo para solventar estas vulnerabilidades.
_246652fa55.jpg)