LG Smart-TVs durch kritische Sicherheitslücken bedroht

Die Cyber Security Firma Bitdefender berichtete im April 2024 mehrere Sicherheitslücken auf LG Smart-TVs, die die WebOS-Versionen 4 bis 7 betreffen. Die Schwachstellen ermöglichten es, Root-Zugriff auf den Fernseher zu erlangen, nachdem der Autorisierungsmechanismus umgangen wurde. Obwohl der anfällige Dienst nur für den LAN-Zugriff vorgesehen ist, identifizierte die Suchmaschiene Shodan über 91.000 Geräte, die diesen Dienst im Internet freigeben.

Eine gefundene Schwachstelle ermöglicht es dem Angreifer den Autorisierungsmechanismus in WebOS-Versionen 4 bis 7 zu umgehen. Durch das Setzen einer Variablen kann ein Angreifer einen zusätzlichen Benutzer zum Fernsehgerät hinzufügen (CVE-2023-6317).

Eine weitere Schwachstelle ermöglicht es Angreifern, den Zugriff, den sie im ersten Schritt erlangt haben, zu root zu erhöhen und das Gerät vollständig zu übernehmen (CVE-2023-6318).

Eine dritte Schwachstelle (CVE-2023-6319) ermöglicht das Einschleusen von Betriebssystembefehlen, indem eine Bibliothek manipuliert wird, die für die Anzeige von Musiktexten verantwortlich ist.

Die Schwachstelle CVE-2023-6320 ermöglicht es einem Angreifer, authentifizierte Befehle einzuschleusen, indem die API-Endpunkte mit setVlanStaticAddress manipuliert werden.

Für die Schwachstellen anfällig sind:

  • webOS 4.9.7 - 5.30.40 auf LG43UM7000PLA
  • webOS 5.5.0 - 04.50.51 auf OLED55CXPUA
  • webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 auf OLED48C1PUB
  • webOS 7.3.1-43 (mullet-mebin) - 03.33.85 auf OLED55A23LA

Den vollständigen Bericht der Sicherheitsforscher finden Sie unter diesem Link.

Tags :

Related Posts

Schwachstelle in HP CCX Telefonie Firmware ermöglicht unautorisierten Zugriff

Anfang April 2024 wurde eine kritische Sicherheitslücke wurde in der Firmware von HP CCX-Telefonie Geräten bekannt, die nach dem Build 8.0.2.3267 und vor 8.1.3.1301 erstellt wurden. Ein Fehler im Erstellungsprozess der Firmware führte dazu, dass der Zugriff auf eine Ressource nicht angemessen gegenüber unbefugten Akteuren eingeschränkt wurde.

Read More

Ransomwareangriff legt GBI-Genios Wirtschaftsdatenbank lahm

Am 8. April 2024 veröffentlichte die GBI-Genios Deutsche Wirtschaftsdatenbank GmbH, ein führender Anbieter von Wirtschafts- und Wissenschaftsinformationen, auf Linkedin, dass Sie Ziel eines massiven Ransomwareangriffs wurde. Der Ransomwareangriff hat die IT-Infrastruktur von GBI-Genios so stark beeinträchtigt, sodass die Systeme derzeit nicht erreichbar sind. Das Unternehmen hat bestätigt, dass der Wiederherstellungsprozess mehrere Tage in Anspruch nehmen wird. Ebenso sind die Kommunikationswege des Unternehmens betroffen, was den Informationsfluss an Kunden und Partner erschwert. Laut uns zugespielten Presse- und Kundeninformationen wurde die On-Premise VMware Virtualisierungsinfrastruktur durch VMware Bordmittel verschlüsselt. Es gibt aktuell keine Anzeichen, dass Clients oder andere Infrastruktursysteme betroffen sind und laut Aussage von GBI-Genios auch keine Anzeichen für einen Datenabfluss. Da die Systeme noch in einem abgeschalteten Zustand sind, können noch keine Aussagen zu betroffenen kundenspezifischen Useraccounts getroffen werden. Betroffen sind *.genios.de, *.wiso-net.de, *.ebib.genios.de.

Read More

Schwachstelle in Broadcom Brocade Fabric OS entdeckt

Eine kritische Sicherheitslücke im Brocade Fabric OS, die es Angreifern ermöglicht, aus der Ferne Code auszuführen und root-Zugriff auf den Switch zu erlangen, wurde identifiziert. Die Schwachstelle, bekannt unter der Kennung CVE-2023-3454, betrifft Versionen nach v9.0 und vor v9.2.0 des Betriebssystems.

Read More