Bitdefender'daki güvenlik araştırmacıları, LG akıllı TV'lerde kullanılan işletim sistemi olan WebOS'un birden fazla sürümünü etkileyen dört güvenlik açığı keşfettiler.
Kusurlar, yetkilendirme bypass, ayrıcalık artış ve komut enjeksiyonu dahil olmak üzere etkilenen modeller üzerinde değişen derecelerde yetkisiz erişim ve kontrol sağlar.
Potansiyel saldırılar, bir PIN kullanarak akıllı telefon bağlantısı için mevcut olan 3000/3001 bağlantı noktalarında çalışan bir hizmet kullanarak cihazda keyfi hesaplar oluşturma yeteneğine bağlıdır.
Bitdefender, savunmasız LG WebOS hizmetinin yalnızca Yerel Alan Ağları (LAN) ayarlarında kullanılmasına rağmen, Shodan Internet taramaları, kusurlara karşı potansiyel olarak savunmasız 91.000 açık cihaz gösteriyor.
Dört kusur aşağıdaki gibi özetlenmiştir:
Güvenlik açıkları WebOS 4.9.7-5.30.40 üzerinde LG43UM7000PLA, WebOS 04.50.51-5.5.0 OLED55CXPUA, WebOS 0.36.50-6.3.3-442 OLED48C1PUB ve WebOS 03.33.85-7.3.1-43 üzerinde OLED55A23LA.
Bitdefender bulgularını 1 Kasım 2023'te LG'ye bildirdi, ancak ilgili güvenlik güncellemelerini yayınlamak 22 Mart 2024'e kadar satıcıyı aldı.
LG TV'ler, önemli WebOS güncellemeleri mevcut olduğunda kullanıcıları uyarsa da, bunlar süresiz olarak ertelenebilir. Bu nedenle, etkilenen kullanıcılar güncellemeyi TV'nin Ayarları> Destek> Yazılım Güncellemesine gidip "Güncelleme Kontrolü" ni seçerek uygulamalıdır.
WebOS güncellemelerini mevcut olduğunda otomatik olarak uygulamak aynı menüden etkinleştirilebilir.
TV'ler güvenlik açısından daha az kritik olmasına rağmen, uzaktan komut yürütmenin şiddeti, saldırganlara aynı ağa bağlı diğer, daha hassas cihazlara ulaşmak için bir pivot noktası verebileceği için potansiyel olarak önemli olmaya devam etmektedir.
Ayrıca, akıllı TV'lerin genellikle saldırganın bu hesapların kontrolünü ele geçirmesi için potansiyel olarak çalabileceği akış hizmetleri gibi hesaplar gerektiren uygulamalara sahiptir.
Son olarak, savunmasız TV'ler, bunları dağıtılmış Hizmet Reddi (DDOS) saldırılarına katan veya kriptominasyon için kullanılan kötü amaçlı botnetler tarafından tehlikeye atılabilir.
QNAP, NAS cihazlarındaki kritik Auth Bypass kusurunu uyarıyor
Kritik pas kusuru, Windows komut enjeksiyon saldırılarını sağlar
92.000'den fazla açık D-Link NAS cihazının bir arka kapı hesabı var
Exploit kodu ortaya çıktıkça şimdi saldırı altındaki kritik hatayı ek screencon
Microsoft Nisan 2024 Patch Salı 150 Güvenlik Kusurlarını Düzeltiyor, 67 RCE
Kaynak: Bleeping Computer