2024年4月9日,网安安全公司Bitdefender报告称,LG WebOS TV操作系统存在多个严重的漏洞,攻击者可以绕过授权机制后获得电视的root访问权限,从而达到控制这台设备。目前从互联网资产搜索引擎Shodan上可以发现超过91,000台符合这个条件的设备暴露在互联网上。
图 1 Shodan平台检索结果
漏洞详情介绍
Bitdefender的研究人员发现一个漏洞(CVE-2023-6317),攻击者可以绕过WebOS版本4到7中的授权机制。通过设置变量,攻击者可以向电视机添加额外的用户。
另一个漏洞(CVE-2023-6318)允许攻击者将他们在第一步中获得的访问权限提升为root并完全接管设备。
第三个漏洞(CVE-2023-6319)允许通过操纵负责显示歌词的库来注入操作系统命令。
第四个漏洞(CVE-2023-6320)使攻击者能够通过操纵API注入经过身份验证的命令。
受到影响的LG电视型号及系统版本
运行webOS 4.9.7-5.30.40的LG智能电视(例如LG43UM7000PLA)
运行webOS 5.5.0-04.50.51的LG智能电视(例如OLED55CXPUA)
运行webOS 6.3.3-442(kisscrl-kinglake)-03.36.50的LG智能电视(例如OLED48C1PUB)
运行webOS 7.3.1-43(mullet mebin)-03.33.85的LG智能电视(例如OLED55A23LA)
对发现的漏洞进行技术调查
WebOS系统在端口3000/3001(HTTP/HTTPS/WSS)上运行一项服务,LG ThinkQ智能手机应用程序使用该服务来控制电视。要设置该应用程序,用户必须在电视屏幕上的显示器中输入PIN码。帐户处理程序中的错误使攻击者可以完全跳过PIN验证,并创建特权用户配置文件。处理帐户注册请求的函数使用一个名为skipPrompt的变量,当或参数对应于现有配置文件时,该变量设置为true。在决定是否提示用户输入PIN时,它还考虑了请求的权限,因为在某些情况下不需要确认。研究人员可以请求创建一个没有权限的帐户,该帐户将被自动授予。然后,请求另一个具有提升权限的帐户,但指定的变量与创建第一个帐户时获得的密钥相匹配。服务器将确认此密钥存在,但不会验证它是否属于正确的帐户。因此,skipPrompt变量将为true,并且将创建帐户,而无需在TV.companion-client-key上请求PIN确认。该漏洞被确定为CVE-2023-6317,已被证实会影响webOS 4.9.7、5.5.0、6.3.3-442和7.3.1-43。
研究人员发现了两个经过身份验证的命令注入漏洞,它们导致root访问,另一个漏洞以dbus用户身份运行命令。在processAnalyticsReport方法中从com.webos.service.cloudupload服务注入经过身份验证的命令。该方法需要三个参数,当参数设置为该参数时,该参数将被传递给系统命令,而不会被清除。尽管无法直接执行对此方法的请求,但可以使用另一个端点来绕过此限制,该限制只能由具有权限的经过身份验证的用户访问。该端点支持的onclose参数允许对未公开的服务执行内部请求,类似于SSRF。创建通知后,研究人员通过端点触发onclose调用,执行对易受攻击端点的请求,并写入通知。指定的文件必须存在于设备上,但可以通过使用服务的下载方法来绕过此限制,该方法将在目录中创建一个具有任意文件名的文件。这两种方法都可以通过端点访问。该漏洞被确定为CVE-2023-6318,已被证实会影响webOS 5.5.0、6.3.3-442和7.3.1-43。
getAudioMetadata方法需要两个参数。虽然deviceId参数并不重要,但在某些条件下,fullPath参数将被传递给系统命令,而不会被清除。如果此参数指向一个扩展名为.mp3的文件,则服务将在同一目录中搜索具有相同名称(扩展名为.lrc)的相应歌词文件。如果找到,歌词文件的前四个字节将与序列进行比较。如果它们匹配(意味着文件是UTF1632编码的),服务将尝试使用iconv二进制文件对其进行解码。此二进制文件将与完整的文件名一起调用,而无需事先清理,从而导致命令注入。该漏洞被确定为CVE-2023-6319,已被证实会影响webOS 4.9.7、5.5.0、6.3.3-442和7.3.1-43。
端点中经过身份验证的命令注入允许在设备上作为dbus执行命令。端点需要三个参数,所有三个参数都将被传递给系统命令,而无需进行清理。在调用这个端点之前,我们必须首先调用该端点。这些端点需要权限。尽管执行命令的用户是dbus,但此帐户具有与根用户类似的权限。该漏洞被确定为CVE-2023-6320,已被证实会影响webOS 5.5.0和6.3.3-442。
应对策略及处置方案
LG公司于2024年3月发布了一个补丁来解决这些漏洞,LG电视用户应尽快将智能电视更新到最新的软件版本。可以在电视的设置菜单中查看更新。
参考链接:
https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos/
