W otwartej platformie automatyki domowej Home Assistant zidentyfikowano krytyczną lukę (CVE-2023-27482), która pozwala ominąć uwierzytelnianie i uzyskać pełny dostęp do uprzywilejowanego API Supervisor, za pomocą którego można zmieniać ustawienia, instalować/aktualizować oprogramowanie, zarządzaj dodatkami i kopiami zapasowymi.
Problem dotyczy instalacji korzystających z komponentu Supervisor i pojawia się od jego pierwszych wydań (od 2017 roku). Na przykład luka występuje w środowiskach Home Assistant OS i Home Assistant Supervised, ale nie wpływa na kontener Home Assistant (Docker) ani ręcznie utworzone środowiska Python oparte na Home Assistant Core.
Luka została naprawiona w wersji Home Assistant Supervisor 2023.01.1. Dodatkowe obejście jest zawarte w wersji Home Assistant 2023.3.0. Na systemach, na których nie ma możliwości zainstalowania aktualizacji blokującej lukę, można ograniczyć dostęp do portu sieciowego usługi internetowej Home Assistant z sieci zewnętrznych.
Sposób wykorzystania luki nie został jeszcze szczegółowo poznany (według twórców około 1/3 użytkowników zainstalowało aktualizację i wiele systemów pozostaje podatnych na ataki). W poprawionej wersji pod pozorem optymalizacji wprowadzono zmiany w przetwarzaniu tokenów i zapytań proxy oraz dodano filtry blokujące podstawianie zapytań SQL i wstawianie „ » и использования путей с «../» и «/./».
Źródło: opennet.ru