Home Assistant'ın Güvenlik Açıkları
24 Ekim 2023
Home Assistant, kullanıcıların evlerindeki çeşitli akıllı cihazları kontrol etmelerine ve otomatikleştirmelerine olanak tanıyan açık kaynaklı bir ev otomasyon platformudur. Ancak, herhangi bir yazılım gibi, güvenlik açıklarına ve güvenlik sorunlarına karşı bağışık değildir. Bu makalede, Home Assistant sürüm 2023.9.0 için bildirilen iki CVE'yi, yani CVE-2023-41894 ve CVE-2023-41893'ü ele alacağız. Ayrıca, sistem yönetiminden sorumlu olan Home Assistant Supervisor bileşeninde keşfedilen ciddi bir güvenlik açığını da ele alacağız.
CVE-2023-41894, kimlik doğrulaması olmadan web kancalarına *.ui.nabu.casa URL'si üzerinden erişilmesine izin veren bir kimlik doğrulama atlama güvenlik açığıdır. Bu sorun, genel URL'ye gönderilen ve yerel Home Assistant'a iletilen tüm isteklerde kaynak adresini 127.0.0.1 olarak ayarlayan SniTun proxy'si tarafından kolaylaştırılır[2]. Bu güvenlik açığı 2023.9.0 sürümünde giderilmiştir ve tüm kullanıcıların yükseltme yapması önerilir[2].
CVE-2023-41893, saldırganların yönlendirme_uri ve istemci_kimliğini değiştirerek kullanıcı erişimini manipüle etmesine olanak tanıyan bir erişim belirteci manipülasyonu güvenlik açığıdır[1][5]. Bu güvenlik açığı 2023.9.0 sürümünde de giderilmiştir ve tüm kullanıcıların yükseltme yapması önerilir[2].
Bu CVE'lere ek olarak, sistem yönetiminden sorumlu olan Home Assistant Supervisor bileşeninde ciddi bir güvenlik açığı keşfedildi. Bu güvenlik açığı, bir saldırganın kimlik doğrulamasını uzaktan atlatmasına ve doğrudan Supervisor API'siyle etkileşime girmesine olanak tanıyarak, Home Assistant güncellemelerini yükleme ve eklentileri ve yedeklemeleri yönetme erişimi sağladı[1][4]. Bu güvenlik açığına CVE-2023-27482 atandı.
Bu güvenlik açığı, Supervisor'ın otomatik güncelleme özelliği aracılığıyla etkilenen tüm kurulumlara dağıtılan Supervisor sürüm 2023.03.1'de düzeltildi[1][2]. Home Assistant Core 2023.3.0 da bu güvenlik açığı için azaltma içeriyor, bu nedenle en azından bu sürüme yükseltme yapılması önerilir[2].
Sonuç: Home Assistant, kullanıcıların evlerindeki çeşitli akıllı cihazları kontrol etmelerine ve otomatikleştirmelerine olanak tanıyan popüler bir açık kaynaklı ev otomasyon platformudur. Ancak, herhangi bir yazılım gibi, güvenlik açıklarına ve güvenlik sorunlarına karşı bağışık değildir. Home Assistant sürüm 2023.9.0 için CVE-2023-41894 ve CVE-2023-41893 olmak üzere iki CVE bildirilmiştir. Bu güvenlik açıklarının her ikisi de sürüm 2023.9.0'da giderilmiştir ve tüm kullanıcıların yükseltme yapmaları önerilir. Ayrıca, Home Assistant Supervisor bileşeninde ciddi bir güvenlik açığı keşfedildi ve bu güvenlik açığı Supervisor sürüm 2023.03.1'de düzeltildi. Bu güvenlik açığını azaltmak için en azından Home Assistant Core 2023.3.0'a yükseltme yapmanız önerilir. Home Assistant'ta bir güvenlik açığı bulduğunuzu düşünüyorsanız, bunu [email protected] adresindeki güvenlik e-posta adresleri aracılığıyla Home Assistant ekibine bildirebilirsiniz.
Alıntılar:
[0] https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-20-october-2023
[1] https://www.home-assistant.io/blog/2023/03/08/supervisor-security-disclosure/
[2] https://cxsecurity.com/cveshow/CVE-2023-41894/
[3] https://www.cvedetails.com/vulnerability-list/vendor_id-17232/Home-assistant.html
[4] https://security.snyk.io/vuln/SNYK-PYTHON-HOMEASSISTANT-5406380
[5] https://www.nabucasa.com/config/webhooks/