Home Assistant 플랫폼의 원격으로 악용 가능한 취약점

오픈소스 홈 자동화 플랫폼인 Home Assistant에서 심각한 취약점(CVE-2023-27482)이 발견되었습니다. 이 취약점을 악용하면 인증을 우회하고 권한이 있는 Supervisor API에 완전히 액세스할 수 있게 되어 설정을 변경하고, 소프트웨어를 설치/업데이트하고, 애드온과 백업을 관리할 수 있습니다.

이 문제는 Supervisor 구성 요소를 사용하는 설치에 영향을 미치며, 첫 번째 릴리스(2017년 이후)부터 존재해 왔습니다. 예를 들어, 이 취약점은 Home Assistant OS 및 Home Assistant Supervised 환경에 존재하지만, Home Assistant 컨테이너(Docker) 및 Home Assistant Core를 기반으로 수동으로 생성된 Python 환경에는 영향을 미치지 않습니다.

이 취약점은 Home Assistant Supervisor 2023.01.1에서 수정되었습니다. 또한, Home Assistant 2023.3.0에는 해결 방법이 포함되어 있습니다. 취약점을 차단하는 업데이트를 설치할 수 없는 시스템에서는 외부 네트워크에서 Home Assistant 웹 서비스 네트워크 포트에 대한 접근을 제한할 수 있습니다.

취약점 악용 방법은 아직 자세히 밝혀지지 않았습니다(개발자에 따르면 사용자의 약 1/3이 업데이트를 설치했지만 많은 시스템이 여전히 취약한 상태입니다). 수정된 버전에서는 최적화라는 명목으로 토큰 및 프록시 요청 처리 방식이 변경되었으며, SQL 쿼리 대체 및 " » и использования путей с «../» и «/./».

출처 : opennet.ru