MADRID, 10 de abril. (Portal/EP) – Los investigadores han identificado cuatro fallos en diferentes versiones del sistema operativo WebOS que utilizan los televisores de la marca LG, afectados desde hace una década por países como España y Nha, con cerca de 1.000 usuarios, se vio comprometido y fue solucionado con un parche de seguridad. .
Una de estas vulnerabilidades, identificada como CVE-2023-6317, afecta a las versiones de WebOS 4.9.7, 5.5.0, 6.3.3-442 y 7.3.1-43, y permite a los delincuentes obtener acceso root al televisor en la red después de omitirla. el mecanismo de autenticación. Después de agregarse como nuevo usuario de TV y comprometer el dispositivo, un atacante puede inyectar ‘malware’, como ladrones de credenciales, ‘ransomware’, etc.
– y moverse a través de su red doméstica inteligente. Los investigadores de Bitdefender, que elaboraron un informe sobre estos fallos, explican que el sistema operativo del televisor LG ejecuta el servicio en los puertos 3000/3001 (HTTP/HTTPS/WSS) utilizando la aplicación móvil LG ThinkQ para controlar el televisor. Para configurar esta ‘app’, el usuario debe introducir un PIN en pantalla, por lo que un error en este gestor de contraseñas permite a los atacantes eludir la verificación de estas credenciales y crear un perfil de usuario privilegiado.
Bitdefender ha aclarado que la función de gestión de solicitudes de registro de cuentas utiliza una variable llamada SkipPrompt, que determina qué parámetro corresponde a un perfil ya existente, con el código ‘clave de cliente’ o ‘clave que acompaña a los clientes’. Después de crear una cuenta sin permisos otorgados automáticamente, un atacante puede crear una cuenta privilegiada especificando la última de estas variables para que coincida con la clave obtenida al crear la primera cuenta. El servidor confirmará entonces la existencia de esta contraseña pero no comprobará si pertenece a la cuenta correcta, por lo que la variable SkipPrompt será la que utilicen los ciberdelincuentes a la hora de generar contraseñas que no requieran confirmación del código PIN del televisor.
Los analistas también señalaron en su blog que otra vulnerabilidad (CVE-2023-6318 para WebOS 5.5.0, 6.3.3-442 y 7.3.1-43) permitió a los ciberdelincuentes tomar el control total del dispositivo. Una tercera vulnerabilidad (CVE-2023-6319 para WebOS 4.9.7, 5.5.0, 6.3.3-442 y 7.3.1-43) permite a los atacantes inyectar comandos del sistema operativo manipulando las bibliotecas que contienen letras. Finalmente, la vulnerabilidad CVE-2023-6320, que afecta a WebOS 5.5.0 y 6.3.3-442, brinda a los atacantes la capacidad de inyectar comandos autenticados manipulando el punto final de la interfaz de programación de aplicaciones (API), así como una cuenta de GitHub vinculada al Plataforma de bots Discord Top.gg.
Utilizando el motor de búsqueda Shodan, descubrieron que estos fallos afectaban a un total de 91.938 propietarios de televisores LG, dijeron los investigadores. De ellos, 963 eran españoles, según un informe de la empresa de ciberseguridad. Entre los afectados también se encontraban usuarios de Corea del Sur (50.315), Estados Unidos (6.789) y Finlandia (6.359), entre otros.
Tenga en cuenta que todos ellos, descubiertos a principios de noviembre de 2023, se solucionaron con el lanzamiento de parches de seguridad por parte de la empresa de tecnología LG. Por lo tanto, los usuarios de estos televisores deben asegurarse de estar ejecutando la última actualización de WebOS.
