Si tienes un televisor LG, debes actualizarlo: descubiertas 4 vulnerabilidades graves en WebOS

Bitdefender ha anunciado que el pasado octubre identificó 4 vulnerabilidades, 1 de gravedad alta y 3 de gravedad crítica, en el sistema operativo WebOS que emplean los televisores LG. La empresa de software de seguridad, que desarrolla el popular antivirus del mismo nombre, lo comunicó al fabricante el 1 de noviembre y tras cinco meses de espera y una vez que LG ha lanzado parches de seguridad para solventarlas, las ha hecho públicas.

“Hemos encontrado varios problemas que afectan las versiones 4 a 7 de WebOS que se ejecutan en televisores LG. Estas vulnerabilidades nos permiten obtener acceso root en el televisor después de eludir el mecanismo de autorización”, ha señalado Bitdefender en su blog. El llamado acceso root es también conocido como acceso de superusuario, el nivel más alto de privilegio que se puede obtener en un sistema operativo. Un usuario con acceso root tiene control total sobre el sistema y puede realizar cualquier acción.

El agujero de seguridad de menor gravedad, CVE-2023-6317, calificado como alta, permite a un atacante saltarse el mecanismo de autorización de WebOS y añadir un usuario extra al televisor afectado.

CVE-2023-6318, crítica, autoriza al atacante que haya aprovechado la anterior elevar el acceso obtenido a root y así tomar un control completo del televisor.

La tercera vulnerabilidad, CVE-2023-6319, permite la inyección de comandos del sistema operativo a través de una biblioteca responsable de mostrar letras de música. También está calificada como crítica.

Por último, CVE-2023-6320, crítica, deja a un atacante inyectar comandos autenticados manipulando el endpoint de la API. En este caso, com.webos.service.connectionmanager/tv/setVlanStaticAddress. Se trata de un punto de acceso específico en una interfaz de programación de aplicaciones, API por sus siglas en inglés, que permite interactuar con un servicio web o una aplicación para realizar determinadas acciones o acceder a ciertos recursos.

Hay que tener en cuenta que aquí el problema no es únicamente tener un televisor comprometido, sino que al poder tomar un control completo un atacante podría saltar desde este a otros dispositivos conectados en la misma red Wifi.

Bitdefender ha verificado las vulnerabilidades, con diferentes versiones de WebOS, en una gama limitada de televisores LG, pero aquí el factor clave es el sistema operativo y no el modelo de televisor. Son los siguientes:

• webOS 4.9.7 - 5.30.40 funcionando en el modelo LG43UM7000PLA.
• webOS 5.5.0 - 04.50.51 funcionando en OLED55CXPUA.
• webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 funcionando en OLED48C1PUB.
• webOS 7.3.1-43 (mullet-mebin) - 03.33.85 en el modelo OLED55A23LA.

Si tienes un televisor LG que utiliza algunas de las versiones de WebOS afectadas, debes actualizar desde el menú de Ajustes del sistema operativo para solventar estas vulnerabilidades.

Actualización 11/4:

LG ha hecho llegar a LA RAZÓN el siguiente comunicado sobre las vulnerabilidades descubiertas:

"Nuestro sistema operativo webOS es, desde su nacimiento, de los más seguros de todo el mercado. Todas las aplicaciones a descargar o a desarrollar para los televisores de LG se gestionan directamente desde nuestros propios servidores, ubicados en Corea, para evitar cualquier tipo de riesgo y eliminar de forma instantánea posibles virus o malware.

LG es una marca de referencia en el mercado de los televisores, creadora y líder mundial en tecnología OLED. Por eso, en muchas ocasiones nuestros dispositivos son examinados por terceros en cuestiones como la ciberseguridad. En el caso del análisis publicado, realizado de forma controlada desde una determinada red WiFi, cabe destacar que se detectaron posibles incidencias solo en cuatro modelos de nuestros televisores y que no fue posible acceder a ningún otro dispositivo conectado a una red diferente. A pesar de tratarse de una situación puntual, en cuanto tuvimos conocimiento de ello inmediatamente activamos los protocolos de seguridad correspondientes -tanto internos como externos- y en marzo lanzamos un parche para subsanarlo. La seguridad y privacidad de los datos de nuestros clientes son una prioridad máxima para LG, que trabaja siempre para evitar, controlar y solventar a la mayor brevedad cualquier posible situación de vulnerabilidad".