꿈을꾸는 파랑새

보안 업체 Bitdefender의 보안 연구원들은 LG 스마트 TV에 사용되는 운영 체제인 WebOS의 여러 버전에 영향을 미치는 4가지 취약점을 발견
해당 결함으로 인증 우회, 권한 상승, 명령 주입 등 영향을 받는 모델에 대한 다양한 수준의 무단 액세스 및 제어가 가능
잠재적인 공격은 PIN을 사용하여 스마트폰 연결에 사용할 수 있는 포트 3000/3001에서 실행되는 서비스를 사용하여 장치에서 임의 계정을 생성하는 능력에 달렸음
Bitdefender는 취약한 LG WebOS 서비스가 근거리 통신망(LAN) 설정에서만 사용되어야 하지만 Shodan 인터넷 검색 결과 잠재적으로 결함에 취약한 노출된 장치가 91,000개 있는 것으로 나타났다고 설명을 했습니다.
보안 취약점
CVE-2023-6317: 해당 취약점을 악용해서 사용하면 공격자가 변수 설정을 악용하여 TV 인증 메커니즘을 우회하여 적절한 인증 없이 TV 세트에 추가 사용자를 추가할 수 있음
CVE-2023-6318:CVE-2023-6317에서 제공하는 초기 무단 액세스 이후 공격자가 루트 액세스 권한을 얻을 수 있도록 허용하는 권한 상승 취약성
CVE-2023-6319: 음악 가사 표시를 담당하는 라이브러리 조작을 통한 운영 체제 명령 주입이 포함되어 있어 임의 명령 실행이 가능
CVE-2023-6320:com(.)webos(.)service(.)connectionmanager/tv/setVlanStaticAddress API 엔드포인트를 활용하여 인증된 명령 주입을 허용하고 루트 사용자와 유사한 권한을 가진 dbus 사용자로 명령을 실행할 수 있음

TV

영향을 받는 LG 스마트 TV

WebOS 4.9.7-5.30.40:LG43UM7000PLA
WebOS 5.5.0-04.50.51:OLED55CXPUA
WebOS 6.3.3-442 (kisscurl-kinglake) 03.36.50:OLED48C1PUB
WebOS 7.3.1-43 (mullet-mebin) - 03.33.85:OLED55A23LA

자세한 설명

WebOS는 LG ThinkQ 스마트폰 앱이 TV를 제어하는 데 사용하는 포트 3000/3001(HTTP/HTTPS/WSS)에서 서비스를 실행
앱을 설정하려면 사용자가 TV 화면 디스플레이에 PIN 코드를 입력해야 합니다.
계정 처리기의 오류 때문에 공격자가 PIN 확인을 완전히 건너뛰고 권한 있는 사용자 프로필을 만들 수 있음
계정 등록 요청을 처리하는 함수는 SkipPrompt 라는 변수를 사용합니다.
다음 중 하나일 때 true로 설정된 client-key 아니면 그 companion-client-key 매개변수는 기존 프로필에 해당
또한, 경우에 따라 확인이 필요하지 않으므로 사용자에게 PIN을 묻는 메시지를 표시할지를 결정할 때 어떤 권한이 요청되는지 고려
권한이 없는 계정 생성을 요청할 수 있으며 자동으로 부여
그런 다음 높은 권한을 가진 다른 계정을 요청하지만, companion-client-key 첫 번째 계정을 만들 때 얻은 키와 일치하는 변수
서버는 이 키가 존재하는지 확인하지만 올바른 계정에 속하는지는 확인하지 않으면 따라서 SkipPrompt 변수는 true가 되며 TV에서 PIN 확인을 요청하지 않고 계정이 생성
CVE-2023-6317로 식별된 취약점은 webOS 4.9.7, 5.5.0, 6.3.3-442 및 7.3.1-43에 영향을 미치는 것으로 확인
사용자 상호 작용 없이 권한 있는 계정을 생성함으로써 이제 이전에는 접근할 수 없었던 대규모 공격 표면에 접근할 수 있게 됨
루트 액세스로 이어지는 인증된 명령 주입 취약점 2개와 dbus 사용자로 명령을 실행하는 취약점 2개를 발견
com(.)webos(.)service(.)cloudupload 서비스의 processAnalyticsReport 메소드에 인증된 명령 삽입
processAnalyticsReport 메서드에는 세 가지 매개변수가 필요
type, reportFile, 그리고 originalFile. 때 type 매개변수는 다음과 같이 설정
analytic 그만큼 reportFile 매개변수는 삭제되지 않고 시스템 명령에 전달
해당 메소드에 대한 요청을 직접 수행할 수는 없지만 다른 엔드 포인트인 system.notifications/createAlert를 사용하여 이 제한을 우회 할 수 있음
WRITE_NOTIFICATION_TOAST허가 해당 끝점에서 지원되는 onclose 매개 변수를 사용하면 SSRF와 유사하게 노출되지 않은 서비스에 대한 내부 요청을 수행할 수 있음
알림을 생성하고 onclose 호출을 트리거
다음을 통해 system.notifications/closeAlert엔드포인트 취약한 엔드포인트에 대한 요청을 수행
지정된 파일은 장치에 존재해야 하지만 다운로드 방법을 사용하여 이 제약 조건을 우회할 수 있음
com(.)webos(.)service.downloadmanager 서비스 /media/internal/downloads/임의의 파일 이름을 가진 디렉터리
둘 다 processAnalyticsReport and download 메서드는 다음을 통해 액세스할 수 있음
취약한 명령은 83행에서 생성되고 84행에서 실행
CVE-2023-6318로 식별된 해당 취약점은 webOS 5.5.0, 6.3.3-442 및 7.3.1-43에 영향을 미치는 것으로 확인
com(.)webos(.)service(.)attachedstoragemanager 서비스의 getAudioMetadata 메소드에 인증된 명령 삽입
메소드 getAudioMetadata 에는 두 개의 매개변수가 필요
deviceId그리고 fullPath. deviceId 매개 변수는 중요하지 않지만 특정 조건에서 fullPath 매개변수는 삭제되지 않고 시스템 명령에 전달
확장자를 가진 파일을 가리키는 경우 해당 매개변수가 .mp3 서비스는 동일한 이름(.lrc 확장자)을 가진 해당 가사 파일을 같은 디렉터리에서 검색
발견되면 가사 파일의 처음 4바이트를 시퀀스와 비교
\xFF\xFE\x00\x00. 바이너리 를 사용하여 파일 디코딩을 시도
일치하는 경우(파일이 UTF1632로 인코딩되었음을 의미) 서비스는 iconv 해당 바이너리는 사전 삭제 없이 전체 파일 이름과 함께 호출되어 명령 주입으로 이어짐
.mp3 및 .lrc 파일이 모두 장치에 있어야 하며 다음을 사용하여 생성할 수 있음
download 앞서 언급한 방법. 필요한 모든 방법은 다음을 통해 액세스할 수 있습니다.
convLrcStringByBinary 바이너리 의 asm 에 있는 취약한 코드 
CVE-2023-6319로 식별된 취약점은 webOS 4.9.7, 5.5.0, 6.3.3-442 및 7.3.1-43에 영향을 미치는 것으로 확인
com(.)webos(.)service(.)connectionmanager/TV/setVlanStaticAddress 엔드포인트에 인증된 명령 주입을 통해 장치에서 명령을 dbus로 실행할 수 있음
setVlanStaticAddress 엔드포인트에는 세 가지 매개변수가 필요
ip_address, bcast_address 그리고 netmask
세 매개변수는 모두 삭제되지 않고 시스템 명령에 전달
엔드포인트를 호출하기 전에 먼저 createVirtualLan 끝점 엔드포인트에는 다음이 필요합니다. READ_NETWORK_STATE허가
명령을 실행하는 사용자는 dbus 이지만 이 계정은 루트 사용자와 유사한 권한을 갖음
취약한 코드 handle_set_vlan_static_address_command from libwca2.so library
Bitdefender는 2023년 11월 1일 LG에 조사 결과를 보고했지만, 관련 보안 업데이트를 출시하는 데는 2024년 3월 22일까지 소요
LG TV는 중요한 WebOS 업데이트가 있을 때 사용자에게 경고하지만, 해당 업데이트는 무기한 연기될 수 있음
해결 방법
따라서 영향을 받는 사용자는 TV의 설정->지원->소프트웨어 업데이트 로 이동하고 업데이트 확인을 선택하여 업데이트를 적용 해당 방법을 모른다고 하면 스마트 TV 설명서 참고
사용 가능한 경우 WebOS 업데이트를 자동으로 적용하는 기능은 동일한 메뉴에서 활성화할 수 있음
TV는 보안 측면에서 덜 중요하지만, 해당 경우 공격자가 같은 네트워크에 연결된 더 민감한 다른 장치에 접근할 수 있는 피벗 포인트를 제공할 수 있으므로 원격 명령 실행의 심각도는 잠재적으로 여전히 중요
더욱이 스마트 TV에는 스트리밍 서비스와 같이 계정이 필요한 애플리케이션이 있는 경우가 많으며 공격자가 해당 계정을 제어하기 위해 잠재적으로 이를 훔칠 수 있음
취약한 스마트 TV는 DDoS(분산 서비스 거부) 공격에 이용되거나 암호화폐 채굴(가상화폐 채굴)에 사용되는 악성 코드 봇넷에 의해 손상될 수 있음
결론 해당 스마트 TV를 사용하고 있다고 하면 시간을 내어서 보안 업데이트를 적용을 하기 바람

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band