- 9,392
- 18
- 8 Ноя 2022
Сразу несколько уязвимостей в WebOS развязывают руки киберпреступникам.
Исследователи из Bitdefender Для просмотра ссылки Войдиили Зарегистрируйся четыре уязвимости в нескольких версиях WebOS — операционной системы, используемой в умных телевизорах LG . Эти недостатки позволяют злоумышленникам получить несанкционированный доступ и контроль над устройствами на разных уровнях, включая обход авторизации, повышение привилегий и инъекцию команд.
Уязвимости основаны на возможности создавать произвольные аккаунты на устройстве с помощью сервиса, работающего через порты 3000/3001, предназначенные для подключения смартфонов при помощи PIN-кода. Проведённые интернет-сканы выявили 91 000 устройств, доступных онлайн и потенциально подверженных этим уязвимостям.
Итак, среди выявленных недостатков безопасности:
Несмотря на то, что телевизоры LG уведомляют пользователей о важных обновлениях WebOS, их можно откладывать на неопределённый срок. Поэтому специалисты рекомендуют немедленно применить все доступные обновления через меню настроек телевизора.
Хотя телевизоры не являются критически важными в плане цифровой безопасности, возможность удалённого выполнения команд остаётся значительной угрозой, поскольку это может дать злоумышленникам точку для дальнейших атак на другие устройства в сети.
Кроме того, злоумышленники могут похитить учётные данные от стриминговых сервисов или других служб, которые пользователь ввёл в операционную систему.
Также уязвимые телевизоры могут быть использованы для распространения вредоносного ПО, участия в DDoS-атаках или для криптовалютного майнинга, что может напрямую сказаться на их производительности, а при долгой работе на износ, и на долговечности этой работы.
Исследователи из Bitdefender Для просмотра ссылки Войди
Уязвимости основаны на возможности создавать произвольные аккаунты на устройстве с помощью сервиса, работающего через порты 3000/3001, предназначенные для подключения смартфонов при помощи PIN-кода. Проведённые интернет-сканы выявили 91 000 устройств, доступных онлайн и потенциально подверженных этим уязвимостям.
Итак, среди выявленных недостатков безопасности:
- Для просмотра ссылки Войди
или Зарегистрируйся обход механизма авторизации телевизора, позволяющий добавить дополнительного пользователя без надлежащей авторизации (оценка CVSS 7.2); - Для просмотра ссылки Войди
или Зарегистрируйся повышение привилегий до уровня root после получения первоначального доступа (оценка CVSS 9.1); - Для просмотра ссылки Войди
или Зарегистрируйся внедрение команд операционной системы путём манипулирования библиотекой, отвечающей за отображение текстов музыкальных произведений (оценка CVSS 9.1); - Для просмотра ссылки Войди
или Зарегистрируйся аутентифицированное выполнение команд от имени пользователя dbus с привилегиями, схожими с root (оценка CVSS 9.1).
- WebOS с 4.9.7 по 5.30.40 на Для просмотра ссылки Войди
или Зарегистрируйся - WebOS с 04.50.51 по 5.5.0 на Для просмотра ссылки Войди
или Зарегистрируйся - WebOS с 0.36.50 по 6.3.3-442 на Для просмотра ссылки Войди
или Зарегистрируйся - WebOS с 03.33.85 по 7.3.1-43 на Для просмотра ссылки Войди
или Зарегистрируйся
Несмотря на то, что телевизоры LG уведомляют пользователей о важных обновлениях WebOS, их можно откладывать на неопределённый срок. Поэтому специалисты рекомендуют немедленно применить все доступные обновления через меню настроек телевизора.
Хотя телевизоры не являются критически важными в плане цифровой безопасности, возможность удалённого выполнения команд остаётся значительной угрозой, поскольку это может дать злоумышленникам точку для дальнейших атак на другие устройства в сети.
Кроме того, злоумышленники могут похитить учётные данные от стриминговых сервисов или других служб, которые пользователь ввёл в операционную систему.
Также уязвимые телевизоры могут быть использованы для распространения вредоносного ПО, участия в DDoS-атаках или для криптовалютного майнинга, что может напрямую сказаться на их производительности, а при долгой работе на износ, и на долговечности этой работы.
- Источник новости
- www.securitylab.ru
