Home Assistant 플랫폼의 원격으로 악용 가능한 취약점

개방형 홈 자동화 플랫폼 Home Assistant에서 심각한 취약점(CVE-2023-27482)이 확인되었습니다. 이를 통해 인증을 우회하고 권한 있는 Supervisor API에 대한 전체 액세스 권한을 얻을 수 있습니다. 이를 통해 설정 변경, 소프트웨어 설치/업데이트, 추가 기능 및 백업을 관리합니다.

이 문제는 Supervisor 구성 요소를 사용하는 설치에 영향을 미치며 첫 번째 릴리스(2017년 이후)부터 나타났습니다. 예를 들어, 이 취약점은 홈어시스턴트 OS 및 홈어시스턴트 감독 환경에 존재하지만 홈어시스턴트 컨테이너(Docker) 및 홈어시스턴트 코어를 기반으로 수동으로 생성된 Python 환경에는 영향을 미치지 않습니다.

이 취약점은 Home Assistant Supervisor 버전 2023.01.1에서 수정되었습니다. Home Assistant 2023.3.0 릴리스에는 추가 해결 방법이 포함되어 있습니다. 취약점을 차단하기 위한 업데이트를 설치할 수 없는 시스템에서는 외부 네트워크에서 홈어시스턴트 웹 서비스의 네트워크 포트에 대한 액세스를 제한할 수 있습니다.

취약점을 악용하는 방법은 아직 자세히 설명되지 않았습니다(개발자에 따르면 사용자의 약 1/3이 업데이트를 설치했으며 많은 시스템이 여전히 취약한 상태로 남아 있음). 수정된 버전에서는 최적화를 가장하여 토큰 및 프록시 쿼리 처리가 변경되었으며, SQL 쿼리 대체 및 " » и использования путей с «../» и «/./».

출처 : opennet.ru