Corregidas varias fallas en WebOS para televisores LG que afectaban a cerca de 1.000 usuarios españoles

Investigadores han identificado cuatro fallas en diferentes versiones del sistema operativo WebOS, con el que funcionan televisores de la marca LG, que afectaban a una decena de países, entre ellos España, con casi 1.000 usuarios comprometidos, y que ya se han corregido con un parche de seguridad. Una de estas vulnerabilidades, identificada como CVE-2023-6317, afectaba a las versiones 4.9.7, 5.5.0, 6.3.3-442 y 7.3.1-43 de WebOS y permitía a los ciberdelincuentes obtener acceso 'root' al televisor después de eludir el mecanismo de autentificación. Tras añadirse como nuevo usuario en el televisor y comprometer el equipo, el atacante podía inyectar 'malware' -como ladrones de información, 'ransomware', etc.- y moverse lateralmente a través de una red doméstica inteligente. Los investigadores de Bitdefender, que han elaborado un informe con estas fallas, han explicado que el sistema operativo de los televisores LG ejecuta un servicio en los puertos 3000/3001 (HTTP/HTTPS/WSS) que utiliza la aplicación para móviles LG ThinkQ para controlar los televisores. Para configurar esta 'app', el usuario debe ingresar un código PIN en la pantalla, de modo que un error en este adminsitrador de contraseñas permite al atacante omitir la verificación de estas credenciales y crear un perfil de usuario privilegiado. Bitdefender ha concretado que la función que maneja las solictudes de registro de cuentas utiliza una variable llamada skipPrompt, que determina los parámetros que corresponden a un perfil ya existente, con código 'client-key' o 'companion-client-key'. Tras crear una cuenta sin permisos, que se concede de forma automática, los atacantes puodía crear una cuenta con privilegios indicando la última de estas variables, para que coincidiera con la clave obtenida al crear la primera cuenta. Entonces, el servidor confirmaría la existencia de esta contraseña, pero no verificaba si pertenecía a la cuenta correcta, de modo que la variable skipPrompt sería la empleada los ciberdelincuentes al crearse sin solicitar la confirmación del número PIN en el televisor. Los analistas también han señalado comentado en su blog que otra de las fallas (CVE-2023-6318 para WebOS 5.5.0, 6.3.3-442 y 7.3.1-43) permitía a los ciberdelincuentes apoderarse por completo del dispositivo. Una tercera vulnerabilidad (CVE-2023-6319 para WebOS 4.9.7, 5.5.0, 6.3.3-442 Y 7.3.1-43) brindaba a los atacantes la inyección de comandos del sistema operativo manipulando una biblioteca contenedora de letras de canciones. Por último, la vulnerabilidad CVE-2023-6320 -que afectaba a WebOS 5.5.0 y 6.3.3-442- ofrecía a los atacantes la oportunidad de inyectar comantos autentificados manipulando el punto final de la interfaz de programación de aplicaciones (API), así como la cuenta de GitHub asociada a la plataforma de 'bots' de Discord Top.gg. Los investigadores han indicado que, empleando el motor de búsqueda Shodan, descubrieron que estas fallas afectaban a un total de 91.938 propietarios de televisores LG. De ellos, 963 son españoles, según el reporte de esta compañía de ciberseguridad. también se encuentran entre los afectados usuarios de Corea (50.315), Estados Unidos (6.789) y Finlandia (6.359), entre otros. Conviene señalar que todas ellas, descubiertas a principios de noviembre de 2023, ya se han corregido con el lanzamiento de un parche de seguridad por parte de la compañía tecnológica LG. Por tanto, los usuarios de estos televisores deben asegurarse de que están ejecutando la última actualización de WebOS.