Los investigadores de seguridad de Bitdefender han descubierto cuatro vulnerabilidades que afectan a algunas versiones de webOS. Algunas de estas vulnerabilidades podrían ser peligrosas, como ahora os explicaremos. Pero LG ya las ha detectado y en marzo lanzó un parche para solventarlas, así que si tienes uno de los televisores afectados deberías instalar la última actualización que te aparezca disponible lo antes posible.
Los fallos que se detectaron permiten diversos grados de acceso no autorizado y control sobre los modelos afectados, incluidas omisiones de autorización, escalada de privilegios e inyección de comandos. Los ataques potenciales dependen de la capacidad de crear cuentas arbitrarias en el dispositivo utilizando un servicio que se ejecuta en los puertos 3000/3001, que está disponible para la conectividad de teléfonos inteligentes, mediante un PIN.
Vulnerabilidades críticas en algunos televisores de LG con webOS: así funciona el bug que permite el hackeo
Bitdefender explica que aunque se supone que el servicio que tiene la vulnerabilidad en los televisores LG WebOS solo se puede producir en redes de área local (LAN), los análisis de Internet de Shodan muestran 91.000 dispositivos expuestos a la red externa (Internet), por lo que como se puede comprobar, el fallo no solo afecta a redes locales. En resumen: los televisores afectados podrían ser vulnerables a recibir un ataque externo a través de Internet. Si nos fijamos en los datos del estudio, en España son unos 1000 televisores los afectados:
Los cuatro agujeros de seguridad encontrados por los expertos de Bitdefender os los resumimos a continuación:
- Bug CVE-2023-6317 que permite a los atacantes eludir el mecanismo de autorización del televisor explotando una configuración variable, lo que permite agregar un usuario adicional al televisor sin la autorización adecuada.
- Bug CVE-2023-6318 es una vulnerabilidad de elevación de privilegios que permite a los atacantes obtener acceso a root tras el acceso inicial no autorizado proporcionado por el fallo CVE-2023-6317.
- Bug CVE-2023-6319 que implica la inyección de comandos al sistema operativo mediante la manipulación de una biblioteca responsable de mostrar letras de música, lo que permite la ejecución de comandos externos no autorizados.
- Bug CVE-2023-6320 permite la inyección de comandos autenticados explotando el punto final de la API com.webos.service.connectionmanager/tv/setVlanStaticAddress, lo que permite la ejecución de comandos como usuario dbus, que tiene permisos similares a los del usuario root.
Como veis, el listado de fallos supone una violación de privilegios, ya que los hackers pueden acceder al usuario root (administrador total del sistema), inyectar comandos y scripts externos, robar datos del televisor, etc. Además, los televisores vulnerables pueden verse comprometidos por botnets de malware que los involucran en ataques distribuidos de denegación de servicio (DDoS) o se utilizan para criptominería.
ACTUALIZACIÓN
LG ha contacto con nosotros para ofrecernos la versión oficial de la marca sobre este tema. Según nos indican, el comentado fallo de seguridad de webOS afecta solo a cuatro gamas de televisores y fue subsanado en marzo mediante el lanzamiento de un parche. Así que, si tienes uno de los modelos afectados, actualiza tu sistema lo antes posible, especialmente si hace mucho que no lo haces.
Os dejamos el comunicado oficial de LG:
«Nuestro sistema operativo webOS es, desde su nacimiento, de los más seguros de todo el mercado. Todas las aplicaciones a descargar o a desarrollar para los televisores de LG se gestionan directamente desde nuestros propios servidores, ubicados en Corea, para evitar cualquier tipo de riesgo y eliminar de forma instantánea posibles virus o malware.
LG es una marca de referencia en el mercado de los televisores, creadora y líder mundial en tecnología OLED. Por eso, en muchas ocasiones nuestros dispositivos son examinados por terceros en cuestiones como la ciberseguridad. En el caso del análisis publicado, realizado de forma controlada desde una determinada red WiFi, cabe destacar que se detectaron posibles incidencias solo en cuatro modelos de nuestros televisores y que no fue posible acceder a ningún otro dispositivo conectado a una red diferente.
A pesar de tratarse de una situación puntual, en cuanto tuvimos conocimiento de ello inmediatamente activamos los protocolos de seguridad correspondientes -tanto internos como externos- y en marzo lanzamos un parche para subsanarlo. La seguridad y privacidad de los datos de nuestros clientes son una prioridad máxima para LG, que trabaja siempre para evitar, controlar y solventar a la mayor brevedad cualquier posible situación de vulnerabilidad«.
Esta es la lista de televisores y modelos de Smart TV de LG con webOS afectados
Las vulnerabilidades afectan exclusivamente a estos modelos y versiones de sistema operativos:
- Sistema webOS desde la versión 4.9.7 – 5.30.40 encontrado en las gamas de LG UM7000PLA.
- Sistema webOS 04.50.51 – 5.5.0 encontrado en los televisores LG OLED CX y GX.
- Sistema webOS 0.36.50 – 6.3.3-442 encontrado en los televisores LG OLED B1, C1 y G1.
- Sistema webOS 03.33.85 – 7.3.1-43 encontrado en los modelos LG OLED A2, B2, C2 y G2.
Tras el informe recibido por parte de Bitdefender, LG actualizó en el mes de marzo de 2024 los televisores afectados para solucionar este problema de seguridad. Aunque los televisores LG alertan a los usuarios cuando hay actualizaciones importantes de WebOS disponibles, éstas pueden posponerse indefinidamente.
Así pues, la solución pasa porque los usuarios afectados actualicen su televisor lo antes posible. Para ello, es tan fácil como abrir el menú del televisor e irse a Configuración > Soporte > Actualización de software del televisor y seleccionar «Buscar actualizaciones«. Si hemos activado la actualización automática del firmware, no será necesario, ya que el televisor se habrá auto-actualizado él solo de forma automática.
Aunque los televisores son menos críticos en términos de seguridad, la gravedad de la ejecución remota de comandos sigue siendo potencialmente significativa en este caso. Además, los televisores inteligentes suelen tener aplicaciones que requieren cuentas, como servicios de streaming, que el atacante podría robar para tomar el control de las mismas.
Fuente: bleepingcomputer
