Các lỗ hổng cho phép truy cập và kiểm soát trái phép ở các mức độ khác nhau đối với tùy thiết bị bị ảnh hưởng, bao gồm việc bỏ qua ủy quyền, leo thang đặc quyền và chèn lệnh. Các cuộc tấn công tiềm ẩn tồn tại ở tính năng tạo tài khoản tùy ý trên thiết bị bằng dịch vụ chạy trên cổng 3000/3001, có sẵn để kết nối điện thoại thông minh và sử dụng mã PIN.
Thống kê các thiết bị TV LG bị ảnh hưởng trên toàn thế giới
Bốn lỗ hổng được mô tả tóm tắt như sau:
- CVE-2023-6317: Kẻ tấn công có thể bỏ qua cơ chế ủy quyền trong phiên bản từ WebOS 4.9.7 - 5.30.40 chạy trên dòng TV 43UM7000PLA, WebOS 04.50.51 - 5.5.0 trên TV OLED55CXPUA, WebOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB và WebOS 03.33.85 - 7.3.1-43 trên OLED48C1PUB, OLED55A23LA.
- CVE-2023-6318: Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền root và chiếm quyền kiểm soát hoàn toàn thiết bị
- CVE- 2023-6319: Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện chịu trách nhiệm hiển thị lời bài hát.
- CVE-2023-6320: Lỗ hổng cho phép kẻ tấn công chèn các lệnh đã xác thực bằng cách thao túng điểm cuối API, cho phép thực thi lệnh với tư cách là người dùng dbus, có quyền tương tự như người dùng root.
Bitdefender cho biết đã phát hiện lỗ hổng cuối năm ngoái và báo cho LG. Tuy vậy, phải đến cuối tháng 3/2024, hãng mới đưa ra bản cập nhật đầu tiên để khắc phục.
Mặc dù, TV LG sẽ có thông báo cho người dùng khi có bản cập nhật WebOS quan trọng nhưng người dùng có thể không để ý và bỏ qua thống báo này. Do đó, những người dùng đang sử dụng các thiết bị TV LG trong danh sách bị ảnh hưởng nên kiểm tra cập nhật bằng cách đi tới Cài đặt > Hỗ trợ > Cập nhật phần mềm của TV > Kiểm tra cập nhật. Tại đây người dùng hãy kiểm tra xem thiết bị của mình đã được cập nhật phiên bản mới nhất hay chưa hoặc có thể bật tính năng tự động cập nhật phiên bản WebOS mới nhất.
Tuy thiết bị TV có chứa ít thông tin quan trọng nhưng thông qua các thiết bị này có thể cung cấp cho kẻ tấn công một bàn đạp để tiếp cận các thiết bị khác nhạy cảm hơn được kết nối với cùng một mạng. Hơn nữa, TV thông minh thường có các ứng dụng yêu cầu tài khoản, như dịch vụ phát trực tuyến, mà kẻ tấn công có thể đánh cắp để chiếm quyền kiểm soát các tài khoản đó.
Để giảm thiểu rủi ro bị tin tặc lợi dụng thiết bị TV thông minh để tấn công mạng, người dùng có thể thực hiện các cách thức sau:
- Phân đoạn mạng: Cách ly TV thông minh trên một phân đoạn mạng riêng để hạn chế tương tác với các thiết bị khác.
- Giám sát thường xuyên: Theo dõi mọi hoạt động bất thường trên TV hoặc mạng mà TV được kết nối.
- Thường xuyên cập nhật phần mềm từ nhà cung cấp: Thực hiện theo các thông báo của LG để biết thông tin cập nhật về lỗ hổng bảo mật và áp dụng các bản vá khi được cung cấp.
Sự cố này như một lời nhắc nhở rõ ràng về những thách thức bảo mật ngày càng tăng trong bối cảnh các thiết bị Internet of Things (IoT) ngày càng phát triển. Khi nhiều thiết bị được kết nối hơn, khả năng vi phạm an toàn thông tin sẽ tăng lên. Các nhà sản xuất và người dùng phải ưu tiên bảo mật thông tin để phòng tránh trước sự truy cập trái phép của tội phạm mạng.
Quốc Trường
10:00 | 10/04/2024
10:00 | 10/04/2024
13:00 | 17/10/2024
13:00 | 13/01/2025
Một lỗ hổng vừa được phát hiện trong Nuclei của ProjectDiscovery, một công cụ quét lỗ hổng nhanh, hiệu quả và có khả năng mở rộng. Nếu khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công bỏ qua các lần kiểm tra chữ ký và thực thi mã độc.
15:00 | 10/01/2025
Các nhà nghiên cứu đã công bố một lỗ hổng trong Linux Kernel định danh CVE-2023-4147. Đây là lỗ hổng nghiêm trọng với điểm CVSS 7.8, cho phép kẻ tấn công thực hiện leo thang đặc quyền hoặc gây mất an toàn hệ thống.
13:00 | 03/01/2025
Ngày 27/12 vừa qua, một tòa án Nga đã tuyên phạt nền tảng video dạng ngắn TikTok 3 triệu ruble (28.600 USD) vì không xóa bỏ nội dung vi phạm luật pháp Nga.
15:00 | 13/12/2024
Ngày 9/12, Google ra mắt một con chip máy tính lượng tử mới, được mô tả chỉ mất vài phút để hoàn thành các tác vụ mà một số máy tính nhanh nhất thế giới phải mất 10 triệu tỷ tỷ năm mới có thể hoàn thành. Đây là bước đột phá có thể đưa điện toán lượng tử thực tiễn đến gần hơn với hiện thực.
Tại CES 2025, Nvidia đã ra mắt máy tính để bàn Project DIGITS, sử dụng chip AI Blackwell mới nhất của Nvidia và có giá bán là 3.000 USD. Máy tính này trang bị một CPU mới, được phát triển nhờ sự hợp tác giữa Nvidia và MediaTek.
10:00 | 06/02/2025