Die Experten der Bitdefender Labs haben Schwachstellen in LG WebOS entdeckt und den Hersteller informiert. Die bereits mit einem Push-Patch von LG geschlossenen Lücken erlaubten Hackern das Hinzufügen neuer Nutzer, den Root-Zugriff und damit die Kompromittierung des gesamten Smart-Home-Netzwerks.
Nutzer sind aufgefordert, zu überprüfen, ob LG WebOS auf ihren LG-Fernsehern in der aktualisierten Version vom 22. März 2024 vorliegt. Die von LG behobenen Schwachstellen (CVE-2023-6317, CVE-2023-6318, CVE-2023-6319, CVE-2023-6320) betreffen den LG-WebOS-Dienst in verschiedenen Versionen von WebOS 4 bis WebOS 7. Bemerkenswert: Obwohl LG WebOS als Local-Area-Network (LAN)-Dienst ausgelegt ist, lassen sich mit dem auch von Hackern eingesetzten Shodan-Tool über 91.000 dem Internet exponierte Geräte finden. Eine konservative Schätzung der Sicherheitsexperten geht daher von einer Summe von betroffenen Geräten im fast sechsstelligen Bereich aus.
Bei ungepatchten Geräten können Hacker die Authentifikation in den LG WebOS-Versionen 4 bis 7 umgehen und sich als neuer Nutzer hinzufügen. Im Anschluss können sie ihre Zugriffsrechte auf eine Root-Kontrolle ausweiten. Über die Schwachstellen infizieren sie Kommando-gesteuert das angegriffene Heim-Netzwerk mit jeder Art von Malware, wie etwa Tools zur Exfiltration von Informationen oder Ransomware. Bei der Schwachstelle CVE-2023-6319 nutzt der Angreifer dafür die Manipulation einer Library, die für die Anzeige von Liedtexten zuständig ist.
Die Bitdefender Labs empfehlen den Nutzern, sofort zu überprüfen, ob ihr LG WebOS auf ihrem Gerät in der aktuellen Version vorliegt. Ebenso sollten sie sicherstellen, dass der Heim-Router geschützt ist. Auch Schwachstellen im LAN können die Sicherheit und den Datenschutz eines jeden gefährden. Hacker greifen zunehmend IoT-Geräte an, weil mittlerweile viele Smart-Home-Netzwerke eine Verbindung zu Unternehmensnetzwerken erschließen.
www.bitdefender.com