Phát hiện các lỗ hổng cho phép truy cập root trong Smart TV của LG

Nhiều lỗ hổng đã được phát hiện trong hệ điều hành LG webOS chạy trên Smart TV của LG có thể bị khai thác để bỏ qua xác thực và giành quyền truy cập root.

Các lỗ hổng này có mã định danh từ CVE-2023-6317 đến CVE-2023-6320 và ảnh hưởng đến các phiên bản webOS gồm:

• WebOS 4.9.7 – 5.30.40 chạy trên LG43UM7000PLA
• WebOS 5.5.0 – 04.50.51 chạy trên OLED55CXPUA
• WebOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 chạy trên OLED48C1PUB
• WebOS 7.3.1-43 (mullet-mebin) – 03.33.85 chạy trên OLED55A23LA

WebOS chạy dịch vụ trên các cổng 3000/3001 (HTTP/HTTPS/WSS) được ứng dụng điện thoại thông minh LG ThinkQ sử dụng để điều khiển TV. Để cài đặt ứng dụng, người dùng cần nhập mã PIN vào màn hình TV. Nhưng khi có lỗ hổng thì trong trình xử lý tài khoản, kẻ tấn công có thể bỏ qua việc xác minh mã PIN và tạo hồ sơ người dùng đặc quyền.

Các nhà nghiên cứu cho biết mặc dù dịch vụ tồn tại lỗ hổng chỉ dành cho truy cập mạng LAN, nhưng thống kê trên Shodan cho thấy hơn 91.000 thiết bị có tiếp xúc với Internet, hầu hết ở Hàn Quốc, Hồng Kông, Mỹ, Thụy Điển và Phần Lan.

Danh sách các lỗ hổng được phát hiện vào tháng 11 năm 2023 gồm:

• CVE-2023-6317 – Lỗ hổng cho phép bỏ qua xác minh mã PIN và thêm hồ sơ người dùng đặc quyền vào TV mà không cần sự tương tác của người dùng.
• CVE-2023-6318 – Lỗ hổng cho phép leo thang quyền và giành quyền root để chiếm quyền kiểm soát thiết bị.
• CVE-2023-6319 – Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện asm có chức năng hiển thị lời bài hát.
• CVE-2023-6320 – Lỗ hổng cho phép chèn lệnh xác thực bằng cách thao tác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress

Đáng chú ý, việc kết hợp lỗ hổng CVE-2023-6318 và CVE-2023-6319 cho phép có quyền truy cập root hoặc với CVE-2023-6320 cho phép chạy các lệnh tùy ý với tư cách là người dùng dbus.

Hiện LG đã giải quyết các lỗ hổng trên bằng bản cập nhật phát hành vào ngày 22 tháng 3 năm 2024.