È stata individuata una vulnerabilità critica (CVE-2023-27482) nella piattaforma domotica aperta Home Assistant, che consente di bypassare l'autenticazione e ottenere pieno accesso all'API privilegiata Supervisor, attraverso la quale è possibile modificare impostazioni, installare/aggiornare software, gestire aggiungere -on e backup.
Il problema riguarda le installazioni che utilizzano la componente Supervisor ed è presente fin dai suoi primi rilasci (dal 2017). Ad esempio, la vulnerabilità esiste nel sistema operativo Home Assistant e negli ambienti supervisionati da Home Assistant, ma non influisce su Home Assistant Container (Docker) e sugli ambienti Python creati manualmente basati su Home Assistant Core.
La vulnerabilità è stata risolta nella versione Home Assistant Supervisor 2023.01.1. Nella versione Home Assistant 2023.3.0 è inclusa un'ulteriore opzione di bypass della sicurezza. Sui sistemi che non riescono a installare l'aggiornamento per bloccare la vulnerabilità, è possibile limitare l'accesso alla porta di rete del servizio web Home Assistant da reti esterne.
Il metodo di sfruttamento della vulnerabilità non è stato ancora dettagliato (secondo gli sviluppatori, circa 1/3 degli utenti ha installato l'aggiornamento e molti sistemi rimangono vulnerabili). Nella versione corretta, con il pretesto di ottimizzazione, sono state apportate modifiche all'elaborazione dei token e delle richieste proxy e sono stati aggiunti filtri per bloccare la sostituzione delle query SQL, inserendo il tag " » и использования путей с «../» и «/./».
Fonte: opennet.ru