In der offenen Plattform für Home-Automatisierung Home Assistant wurde eine kritische Sicherheitsanfälligkeit (CVE-2023-27482) entdeckt, die es ermöglicht, die Authentifizierung zu umgehen und vollständigen Zugriff auf die privilegierte API Supervisor zu erlangen. Damit können Einstellungen geändert, Software installiert/aktualisiert, Add-ons verwaltet und Backups erstellt werden.
Das Problem betrifft Installationen, die die Komponente Supervisor verwenden und tritt bereits seit den ersten Versionen (seit 2017) auf. Beispielsweise ist die Sicherheitsanfälligkeit in den Umgebungen Home Assistant OS und Home Assistant Supervised vorhanden, betrifft jedoch nicht Home Assistant Container (Docker) und manuell erstellte Python-Umgebungen basierend auf Home Assistant Core.
Die Sicherheitsanfälligkeit wurde in der Version Home Assistant Supervisor 2023.01.1 behoben. Darüber hinaus ist ein Workaround zum Schutz im Release von Home Assistant 2023.3.0 enthalten. Auf Systemen, auf denen das Update zur Behebung der Sicherheitsanfälligkeit nicht installiert werden kann, kann der Zugang zum Netzwerkport des Home Assistant-Webdienstes aus externen Netzwerken eingeschränkt werden.
Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега «<script>» и использования путей с «../» и «/./».
Quelle: opennet.ru
