Impatto Sistemico

Alto (74.74)

Sintesi

È stata identificata una vulnerabilità di tipo “ path traversal ” presente in alcuni modelli di smart TV prodotte da LG che eseguono il sistema operativo LG WebOS. Tale vulnerabilità, qualora sfruttata, potrebbe comportare il bypass dei meccanismi di autenticazione, con conseguente compromissione completa del dispositivo.

Tipologie

• Arbitrary Code Execution
• Arbitrary File Read
• Authentication Bypass
• Privilege Escalation

Descrizione e potenziali impatti

È stata identificata una vulnerabilità di tipo “ path traversal ” presente in alcuni modelli di smart TV prodotte da LG che eseguono il sistema operativo LG WebOS.

Nel dettaglio, qualora venga collegata una memoria USB al dispositivo vulnerabile, un servizio di sistema apre la porta TCP 18888, permettendo a dispositivi sulla stessa rete locale di scaricare file arbitrari dalle directory /tmp/usb e /tmp/home.office.documentviewer attraverso l’API /getFile?path=<…> . A causa di una errata validazione dei parametri di input, risulterebbe possibile accedere al file del database contenente le chiavi di autenticazione, consentendo l’accesso non autorizzato al servizio second-screen e l’abilitazione della modalità sviluppatore, con conseguente compromissione completa del dispositivo.

Prodotti e/o versioni affette

• LG WebOS TV
• LG UHD LED TV 43UT8050

Azioni di mitigazione

In attesa del rilascio di aggiornamenti da parte del vendor, si raccomanda di:

• considerare la segmentazione della rete per isolare i dispositivi vulnerabili dalle risorse critiche della rete;
• evitare di collegare dispositivi USB non affidabili alla TV;
• monitorare gli aggiornamenti ufficiali da LG per eventuali patch di sicurezza;
• contattare il supporto LG nel caso si necessiti di ulteriori informazioni e assistenza.