Εντοπίστηκε μια κρίσιμη ευπάθεια (CVE-2023-27482) στην ανοιχτή πλατφόρμα οικιακού αυτοματισμού Home Assistant, η οποία σας επιτρέπει να παρακάμψετε τον έλεγχο ταυτότητας και να αποκτήσετε πλήρη πρόσβαση στο προνομιακό Supervisor API, μέσω του οποίου μπορείτε να αλλάξετε ρυθμίσεις, να εγκαταστήσετε/ενημερώσετε λογισμικό, διαχείριση πρόσθετων και αντιγράφων ασφαλείας.
Το πρόβλημα επηρεάζει εγκαταστάσεις που χρησιμοποιούν το στοιχείο Supervisor και έχει εμφανιστεί από τις πρώτες εκδόσεις του (από το 2017). Για παράδειγμα, η ευπάθεια υπάρχει στα περιβάλλοντα Home Assistant OS και Home Assistant εποπτευόμενα περιβάλλοντα, αλλά δεν επηρεάζει το Home Assistant Container (Docker) και τα μη αυτόματα δημιουργημένα περιβάλλοντα Python που βασίζονται στον Home Assistant Core.
Το θέμα ευπάθειας επιδιορθώθηκε στην έκδοση 2023.01.1 του Home Assistant Supervisor. Μια πρόσθετη λύση περιλαμβάνεται στην έκδοση του Home Assistant 2023.3.0. Σε συστήματα στα οποία δεν είναι δυνατή η εγκατάσταση της ενημέρωσης για τον αποκλεισμό της ευπάθειας, μπορείτε να περιορίσετε την πρόσβαση στη θύρα δικτύου της υπηρεσίας Web Home Assistant από εξωτερικά δίκτυα.
Η μέθοδος εκμετάλλευσης της ευπάθειας δεν έχει ακόμη διευκρινιστεί (σύμφωνα με τους προγραμματιστές, περίπου το 1/3 των χρηστών έχουν εγκαταστήσει την ενημέρωση και πολλά συστήματα παραμένουν ευάλωτα). Στη διορθωμένη έκδοση, υπό το πρόσχημα της βελτιστοποίησης, έγιναν αλλαγές στην επεξεργασία των διακριτικών και των ερωτημάτων μεσολάβησης και προστέθηκαν φίλτρα για να εμποδίσουν την αντικατάσταση των ερωτημάτων SQL και την εισαγωγή του " » и использования путей с «../» и «/./».
Πηγή: opennet.ru