Ev Asistanı (Home Assistant) Güvenlik Açıkları

Güncelleme tarihi: 24 Eki 2023

Ev Asistanı(Home Assistant), kullanıcıların evlerindeki çeşitli akıllı cihazları kontrol etmesine ve otomatikleştirmesine olanak tanıyan açık kaynaklı bir ev otomasyon platformudur. Ancak herhangi bir yazılım gibi, güvenlik açıklarından ve güvenlik sorunlarından muaf değildir. Bu blog yazısında, Home Assistant 2023.9.0 sürümü için bildirilen iki CVE'yi, yani CVE-2023-41894 ve CVE-2023-41893'ü tartışacağız. Ayrıca sistem yönetiminden sorumlu olan Ev Asistanı Süpervizör bileşeninde tespit edilen ciddi bir güvenlik açığından da bahsedeceğiz.

CVE-2023-41894, web kancalarına kimlik doğrulama olmadan *.ui.nabu.casa URL'si üzerinden erişilmesine izin veren bir kimlik doğrulama atlama güvenlik açığıdır. Bu sorun, genel URL'ye gönderilen ve yerel Ev Asistanına iletilen tüm isteklerde kaynak adresini 127.0.0.1 olarak ayarlayan SniTun proxy tarafından kolaylaştırılır.[2]. Bu güvenlik açığı 2023.9.0 sürümünde giderilmiştir ve tüm kullanıcılara yükseltme yapmaları önerilir.[2].

CVE-2023-41893, saldırganların yönlendirme_uri ve client_id'yi değiştirerek kullanıcı erişimini değiştirmesine olanak tanıyan bir erişim belirteci manipülasyon güvenlik açığıdır[1][5]. Bu güvenlik açığı 2023.9.0 sürümünde de giderilmiştir ve tüm kullanıcılara yükseltme yapmaları tavsiye edilir.[2].

Bu CVE'lere ek olarak sistem yönetiminden sorumlu olan Home Assistant Supervisor bileşeninde de ciddi bir güvenlik açığı keşfedildi. Bu güvenlik açığı, bir saldırganın kimlik doğrulamayı uzaktan atlamasına ve doğrudan Supervisor API ile etkileşime girmesine olanak vererek, Ev Asistanı(Home Assistant) güncellemelerini yüklemesine ve eklentileri ve yedeklemeleri yönetmesine olanak tanıdı.[1][4]. Bu güvenlik açığına CVE-2023-27482 atanmıştır.

Güvenlik açığı, Süpervizörün otomatik güncelleme özelliği aracılığıyla etkilenen tüm kurulumlara sunulan Süpervizör 2023.03.1 sürümünde düzeltildi.[1][2]. Home Assistant Core 2023.3.0 aynı zamanda bu güvenlik açığının azaltılmasını da içerdiğinden en azından bu sürüme yükseltme yapılması önerilir[2].

Sonuç olarak Ev Asistanı(Home Assistant), kullanıcıların evlerindeki çeşitli akıllı cihazları kontrol etmelerine ve otomatikleştirmelerine olanak tanıyan popüler bir açık kaynaklı ev otomasyon platformudur. Ancak herhangi bir yazılım gibi, güvenlik açıklarından ve güvenlik sorunlarından muaf değildir. Home Assistant sürüm 2023.9.0 için CVE-2023-41894 ve CVE-2023-41893 olmak üzere iki CVE rapor edilmiştir. Bu güvenlik açıklarının her ikisi de 2023.9.0 sürümünde giderilmiştir ve tüm kullanıcılara yükseltme yapmaları tavsiye edilir. Ayrıca Supervisor 2023.03.1 sürümünde düzeltilen Home Assistant Supervisor bileşeninde de ciddi bir güvenlik açığı keşfedildi. Bu güvenlik açığını azaltmak için en azından Home Assistant Core 2023.3.0 sürümüne yükseltme yapılması önerilir.

Home Assistant'ta bir güvenlik açığı bulduğunuzu düşünüyorsanız, bunu Home Assistant ekibinin güvenlik e-posta adresi aracılığıyla bildirebilirsiniz.

Citations:

[0] https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-20-october-2023

[1] https://www.home-assistant.io/blog/2023/03/08/supervisor-security-disclosure/

[2] https://cxsecurity.com/cveshow/CVE-2023-41894/

[3] https://www.cvedetails.com/vulnerability-list/vendor_id-17232/Home-assistant.html

[4] https://security.snyk.io/vuln/SNYK-PYTHON-HOMEASSISTANT-5406380

[5] https://www.nabucasa.com/config/webhooks/

[6] https://security.snyk.io/package/pip/homeassistant