Bitdefenderは4月9日(現地時間)、「Vulnerabilities Identified in LG WebOS」において、LGエレクトロニクスのテレビに搭載されているwebOSから複数の脆弱性が発見されたとして、注意を喚起した。これら脆弱性を悪用されると、デバイスに追加のアカウントを作成して侵入し、デバイスを完全に乗っ取ることが可能になるため注意が必要。
-
Vulnerabilities Identified in LG WebOS
脆弱性の情報
発見された脆弱性の情報(CVE)は次のとおり。
- CVE-2023-6317 - secondscreen.gatewayサービスにプロンプトバイパスの脆弱性。攻撃者はセキュリティPINを回避して特権アカウントを作成できる可能性がある
- CVE-2023-6318 - com.webos.service.clouduploadサービスのprocessAnalyticsReportメソッドにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストにより管理者としてコマンドを実行できる可能性がある
- CVE-2023-6319 - com.webos.service.attachedstoragemanagerサービスのgetAudioMetadataメソッドにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストにより管理者としてコマンドを実行できる可能性がある
- CVE-2023-6320 - com.webos.service.connectionmanager/tv/setVlanStaticAddressエンドポイントにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストによりdbusユーザーとしてコマンドを実行できる可能性がある
脆弱性の影響を受ける製品
脆弱性の影響を受けるとされる製品とバージョンは次のとおり。
- LG43UM7000PLA用のwebOSバージョン4.9.7から5.30.40まで
- OLED55CXPUA用のwebOSバージョン5.5.0から04.50.51まで
- OLED48C1PUB用のwebOSバージョン6.3.3-442(kisscurl-kinglake)から03.36.50まで
- OLED55A23LA用のwebOSバージョン7.3.1-43(mullet-mebin)から03.33.85まで
脆弱性への対策
通常、テレビは保護されたLANに接続されて運用されるが、Shodanのインターネットスキャンからはインターネットに接続され脆弱とみられる製品が9万1,938台発見されている。
-
Shodanのスキャンにより発見された脆弱な製品の分布 引用:Bitdefender
大賞の脆弱性のうち、深刻度が最も高いものは緊急(Critical)と評価されており注意が必要。LGエレクトロニクスは該当製品の修正パッチを3月22日にリリースしており、利用者は影響を確認してアップデートすることが推奨されている。
