PSA: Los propietarios de cuatro modelos de televisores LG deben consultar el menú de configuración para obtener una nueva actualización de software. El parche corrige una serie de vulnerabilidades que podrían dar a los atacantes un control total sobre el dispositivo. Aunque el hackeo inicial requiere acceso a la red doméstica del usuario, una mayor explotación podría ocurrir de forma remota. Casi 100.000 televisores podrían verse afectados.
Los investigadores de seguridad de Bitdefender han descubierto cuatro vulnerabilidades graves que afectan a cuatro televisores inteligentes LG. La empresa recientemente emitido actualizaciones para solucionar los problemas, lo que podría otorgar a los atacantes acceso raíz al sistema operativo webOS, permitiéndoles asumir el control total sobre un televisor.
Según Shodan, un motor de búsqueda de dispositivos conectados a Internet, alrededor de 91.000 televisores son potencialmente vulnerables. Más de la mitad se encuentran en Corea del Sur, pero miles también se utilizan en Hong Kong, Estados Unidos, Suecia y otros países. Las vulnerabilidades afectan funciones que normalmente solo pueden acceder a redes locales, pero los piratas informáticos pueden exponerlas a la Internet abierta.
Los modelos afectados se enumeran a continuación:
- LG43UM7000PLA con versiones de sistema operativo 4.9.7 a 5.30.40
- OLED55CXPUA con versiones de sistema operativo 5.5.0 a 04.50.51
- OLED48C1PUB con versiones de sistema operativo 6.3.3-442 a 03.35.50
- OLED55A23LA con versiones de sistema operativo 7.31-43 a 0.3.33.85
Los piratas informáticos necesitarían explotar una de las vulnerabilidades antes que las otras tres. El primer paso, denominado CVE-2023-6317permite a un atacante crear una nueva cuenta de usuario en el televisor con altos privilegios sin ingresar un PIN.
Crear una cuenta requiere usar la aplicación móvil ThinkQ de LG en la misma red que el televisor, lo que requiere que los posibles atacantes accedan a la red Wi-Fi del objetivo. Sin embargo, establecer la cuenta permite utilizar otros exploits de forma remota.
A partir de ahí, la vulnerabilidad CVE-2023-6318 puede permitir que alguien realice la ejecución remota de código y obtenga acceso de root enviando ciertas solicitudes. Mientras tanto, explota CVE-2023-6319 hace posibles las inyecciones de comandos manipulando el sistema que utiliza el televisor para mostrar las letras de las canciones. La última vulnerabilidad, CVE-2023-6320puede habilitar la ejecución remota de código como usuario de dbus a través de solicitudes específicas.
Quienes utilicen los televisores afectados deben buscar una actualización de firmware en el menú de configuración. También se puede encontrar software actualizado buscando cada número de modelo en el sitio de soporte de LG y seleccionando «Manual y software» en el menú inferior.
Los electrodomésticos conectados a Internet pueden proporcionar a los piratas informáticos una superficie de ataque que a menudo se ignora, ya que pueden sufrir graves vulnerabilidades. Por ejemplo, el año pasado, los investigadores descubrieron que Bombillas inteligentes TP-Link podría filtrar contraseñas de Wi-Fi.
