Las TV LG tienen 4 vulnerabilidades que permiten al atacante tomar el control, robar información e infectar toda la red de nuestra casa

Los atacantes no descansan, eso lo sabemos todos. Actualmente tienen la ayuda de la IA, algunas de ellas muy potentes y con algoritmos cada vez más complejos, por lo que todo lo que tiene que ver con la seguridad está más en alza que nunca, puesto que los ataques son cada vez más efectivos y rápidos. LG, como empresa internacional y líder en muchos sectores, no está exenta de tener problemas de seguridad, y casualmente, Bitdefender encontró a finales de octubre del año pasado 4 vulnerabilidades en sus TV con Sistema Operativo webOS, las cuales son realmente graves.

Pues sí, cada vez vamos a ver más y más vulnerabilidades en los próximos años en todo tipo de hardware y para todos los usos. Más ataques en menos tiempo y más efectivos es lo que tiene. Asumiendo esto, queda por ver cómo reaccionan las compañías afectadas, y en el caso de LG y Bitdefender hemos de decir que no ha sido rápido, aunque sí contundente.

Bitdefender informó a LG de las vulnerabilidades detectadas en webOS

LG WebOS 2023

La cronología de los acontecimientos revela la dificultad de corregir estas vulnerabilidades, y explicamos el porqué de ello. El 1 de noviembre de 2023 Bitdefender encontró 4 agujeros de seguridad que, tras analizarlos y ver la gravedad de los mismos, informó directamente a LG sobre el descubrimiento.

La compañía contestó a este reclamo 14 días después y pidió tiempo a Bitdefender para analizar más en profundidad todo y ofrecer una serie de soluciones.

Pues bien, de mitad de noviembre y el silencio posterior de LG tenemos que pasar a nada menos que el 22 del mes pasado, marzo, cuatro meses de diferencia, donde, ahora sí, la compañía lanzaba distintos parches según el SO y modelo de TV donde avisaba a Bitdefender de que ya estaba todo corregido, así que anoche la firma de seguridad hizo públicas estas 4 vulnerabilidades para LG webOS, su SO y sus TV.

Tienes que actualizar cuanto antes si no quieres tener la red interna de tu casa expuesta a un posible ataque

LG-webOS

El problema no solo afecta a LG, sino que deja abierta de par en par la red de cada casa donde esté conectada la televisión, y eso es lo realmente grave. Las cuatro vulnerabilidades están nombradas bajo los siguientes CVE:

  • CVE-2023-6317
  • CVE-2023-6318
  • CVE-2023-6319
  • CVE-2023-6320

Cada una es distinta lógicamente y vienen catalogadas así por Bitdefender de forma breve:

  • Permite a un atacante eludir el mecanismo de autorización en las versiones 4 a 7 de WebOS. Al configurar una variable, el atacante puede agregar un usuario adicional al televisor ( CVE-2023-6317).
  • Otra vulnerabilidad que permite a los atacantes elevar el acceso que obtuvieron en el primer paso a root y apoderarse completamente del dispositivo ( CVE-2023-6318 ).
  • Una tercera vulnerabilidad ( CVE-2023-6319 ) permite la inyección de comandos del Sistema Operativo manipulando una biblioteca responsable de mostrar letras de música.
  • La vulnerabilidad CVE-2023-6320 permite a un atacante inyectar comandos autenticados manipulando el com.webos.service.connectionmanager/tv/setVlanStaticAddress de la API.

Las versiones de webOS de LG que están afectadas por estas vulnerabilidades dentro de LG son las siguientes:

  • webOS 4.9.7 - 5.30.40 ejecutándose en LG43UM7000PLA
  • webOS 5.5.0 - 04.50.51 ejecutándose en OLED55CXPUA
  • webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 ejecutándose en OLED48C1PUB
  • webOS 7.3.1-43 (mullet-mebin) - 03.33.85 ejecutándose en OLED55A23LA

Aun así, los CVE añaden más información anexa en cuanto a versiones de webOS y modelos de TV afectadas, ya que LG a posteriori añadió más. Así que os recomendamos actualizar lo más rápidamente posible vuestra TV para instalar el nuevo firmware que parchea estas 4 vulnerabilidades tan graves.