LG製テレビに緊急の脆弱性、悪用されると乗っ取られる恐れ - 更新を

画像提供：マイナビニュース

Bitdefenderは4月9日(現地時間)、「Vulnerabilities Identified in LG WebOS」において、LGエレクトロニクスのテレビに搭載されているwebOSから複数の脆弱性が発見されたとして、注意を喚起した。これら脆弱性を悪用されると、デバイスに追加のアカウントを作成して侵入し、デバイスを完全に乗っ取ることが可能になるため注意が必要。

○脆弱性の情報

発見された脆弱性の情報(CVE)は次のとおり。

CVE-2023-6317 - secondscreen.gatewayサービスにプロンプトバイパスの脆弱性。攻撃者はセキュリティPINを回避して特権アカウントを作成できる可能性がある

CVE-2023-6318 - com.webos.service.clouduploadサービスのprocessAnalyticsReportメソッドにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストにより管理者としてコマンドを実行できる可能性がある

CVE-2023-6319 - com.webos.service.attachedstoragemanagerサービスのgetAudioMetadataメソッドにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストにより管理者としてコマンドを実行できる可能性がある

CVE-2023-6320 - com.webos.service.connectionmanager/tv/setVlanStaticAddressエンドポイントにコマンドインジェクションの脆弱性。特別に細工された一連のリクエストによりdbusユーザーとしてコマンドを実行できる可能性がある

○脆弱性の影響を受ける製品

脆弱性の影響を受けるとされる製品とバージョンは次のとおり。

LG43UM7000PLA用のwebOSバージョン4.9.7から5.30.40まで
OLED55CXPUA用のwebOSバージョン5.5.0から04.50.51まで
OLED48C1PUB用のwebOSバージョン6.3.3-442(kisscurl-kinglake)から03.36.50まで
OLED55A23LA用のwebOSバージョン7.3.1-43(mullet-mebin)から03.33.85まで

○脆弱性への対策

通常、テレビは保護されたLANに接続されて運用されるが、Shodanのインターネットスキャンからはインターネットに接続され脆弱とみられる製品が9万1,938台発見されている。

大賞の脆弱性のうち、深刻度が最も高いものは緊急(Critical)と評価されており注意が必要。LGエレクトロニクスは該当製品の修正パッチを3月22日にリリースしており、利用者は影響を確認してアップデートすることが推奨されている。
（後藤大地）