Pesquisadores de segurança da Bitdefender revelaram a descoberta de quatro graves vulnerabilidades no sistema operacional WebOS, usado em uma vasta gama de Smart TVs da LG. Esta descoberta coloca em risco mais de 90 mil dispositivos em todo o mundo, permitindo a invasores realizar uma série de ações maliciosas, desde desvios de autorização e escalonamento de privilégios até injeções de comando.
A equipe de especialistas identificou que as vulnerabilidades, catalogadas sob os códigos CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 e CVE-2023-6320, afetam várias versões do WebOS, abrangendo desde a versão 4.9.7 até a 7.3.1-43, em modelos específicos de TVs, como LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB e OLED55A23LA.
Uma das falhas mais preocupantes permite a criação de contas de usuário arbitrárias nos dispositivos afetados, explorando um serviço designado originalmente para facilitar a conectividade entre smartphones e TVs através de um PIN. Este serviço, que deveria operar exclusivamente em redes locais (LAN), foi encontrado exposto na Internet em 91.000 dispositivos através de varreduras realizadas pelo motor de busca Shodan.
O CVE-2023-6317 facilita o contorno do mecanismo de autorização, permitindo a adição não autorizada de um usuário adicional ao dispositivo. O CVE-2023-6318 é uma vulnerabilidade de elevação de privilégio que, uma vez explorada, confere aos atacantes acesso root ao dispositivo, representando um risco significativo de controle total sobre o sistema afetado. O CVE-2023-6319 permite a injeção de comandos do sistema operacional, explorando uma biblioteca responsável pela exibição de letras de músicas, enquanto o CVE-2023-6320 viabiliza a execução de comandos autenticados, comprometendo ainda mais a segurança dos dispositivos.
A Bitdefender notificou a LG sobre essas vulnerabilidades em 1º de novembro de 2023, mas a fabricante só liberou as correções necessárias em 22 de março de 2024. Apesar das Smart TVs LG informarem os usuários sobre a disponibilidade de atualizações críticas do WebOS, existe a possibilidade de tais atualizações serem adiadas por tempo indefinido pelos usuários, deixando os dispositivos vulneráveis a ataques.
As consequências potenciais dessas vulnerabilidades são amplas e variadas, indo desde o roubo de informações pessoais, como dados de login em serviços de streaming, até a utilização dos dispositivos comprometidos em botnets para a realização de ataques distribuídos de negação de serviço (DDoS) ou para mineração de criptomoedas.
Em resposta a essas descobertas, os usuários de Smart TVs LG afetadas são fortemente aconselhados a aplicar imediatamente as atualizações de segurança, acessando o menu de “Configurações” em seus dispositivos, seguido por “Suporte” e “Atualização de software da TV”, e selecionando “Verificar atualizações”. Além disso, recomenda-se habilitar a aplicação automática de atualizações para garantir a proteção contra futuras vulnerabilidades.
