LG Smart TV に4つの脆弱性:90,000台以上の TV が危険に晒されている

Over 90,000 LG Smart TVs may be exposed to remote attacks

2024/04/09 BleepingComputer — LG Smart TV で使用されている、WebOS の複数のバージョンに影響を及ぼす4つの脆弱性を、Bitdefender のセキュリティ研究者たちが発見した。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上で、さまざまなレベルでの不正アクセスやの制御を行い、認証バイパス/権限昇格/コマンド・インジェクションなどを可能にするとされる。


それらの攻撃が成功する前提としては、PIN を介したスマートフォン接続で利用可能なポート 3000/3001 で実行される、なんらかのサービスによる任意のアカウント作成が条件となる。

PIN to connect to the TV
PIN を使用してテレビに接続 (Bitdefender)

Bitdefender によると、脆弱性のある LG WebOS サービスは、LAN (Local Area Networks) 設定でのみ使用可能なことになっているが、Shodan のインターネット・スキャンでは、潜在的に脆弱性が存在する 91,000台のデバイスが検出されたという。

Exposure of the vulnerable service
検出された脆弱なサービス (Bitdefender)

発見された4つの脆弱性の詳細は、以下の通りだ:

  • CVE-2023-6317:攻撃者は、変数を設定することで、TV の認証メカニズムを迂回し、また、認証を必要とせずに、TV 上に新規ユーザーを追加できる。
  • CVE-2023-6318:攻撃者は、CVE-2023-6317 で作成した不正アカウントを、root 権限に昇格させ、デバイスを完全に乗っ取ることが可能になる。
  • CVE-2023-6319:音楽の歌詞を表示するライブラリに存在する、OS のコマンド・インジェクションの脆弱性であり、その悪用に成功した攻撃者は、任意のコマンドの実行が可能になる。
  • CVE-2023-6320:攻撃者は、com.webos.service.connectionmanager/tv/setVlanStaticAddress API エンドポイントを操作することで、root ユーザーと同様のパーミッションを持つ dbus ユーザーとして、コマンド実行を可能にする。

一連の脆弱性は、下記のバージョンに影響をおよぼす:

  • webOS 4.9.7 – 5.30.40 running on LG43UM7000PLA
  • webOS 5.5.0 – 04.50.51 running on OLED55CXPUA
  • webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 running on OLED48C1PUB
  • webOS 7.3.1-43 (mullet-mebin) – 03.33.85 running on OLED55A23LA

Bitdefender は、これらの脆弱性の調査結果について、2023年11月1日の時点で LG に報告している。しかし、関連するセキュリティ・アップデートがリリースされたのは、2024年3月22日のことだった。

LG Smart TV は、WebOS における重要なアップデートの提供について、ユーザーに通知を行うと述べている。しかし、アップデートが大きく延期される可能性があるため、脆弱なデバイスのユーザーに推奨されるのは、下記の手順でアップデートを適用することである。

TV の [設定] > [サポート] > [ソフトウェア・アップデート] > [アップデートを確認]

なお、上記のメニューから、WebOS のアップデートが利用可能になれば、自動的な更新を行うための設定も可能になる。

TV のセキュリティは、さほど重要ではない。しかし、リモート・コマンド実行の脆弱性は、ユーザーのネットワークに接続された機密性の高いデバイスへと、攻撃者が到達するための橋頭堡になる可能性がある。したがって、今回のケースにおいても、深刻な脆弱性が影響を及ぼし得ると捉えるべきだ。

さらに、LG Smart TV には、アカウントを必要とするアプリケーションとして、ストリーミング・サービスなどが搭載されている。したがって攻撃者は、それらのアカウントを盗むことで、他へと侵害を拡大していく可能性を持つ。

脆弱な TV が、マルウェアのボットネットにより侵害され、知らず知らずのうちに分散型サービス拒否 (DDoS:distributed denial of service) 攻撃に参加しているケースもある。また、クリプトマイニングに利用される可能性もある。したがって、注意が必要だ。

LG Smart TV ですが、日本の市場において、どれほど普及しているのでしょうか?日本語の Web ページを見る限りでは、どのようなサービスが提供されているのか、そのあたりが分かりませんでした。Shodan を見ても、日本のシェアは低そうな感じです。とは言え、スマフォ以外の、こうした民生品のマーケットにも、脆弱性の悪用という攻撃手法が入り込んでいることには、注意が必要ですね。