Esta es una divulgación sobre las vulnerabilidades de seguridad encontradas en Integraciones personalizadas de terceros. Home Assistant no crea ni mantiene integraciones personalizadas. Los usuarios los instalan bajo su propia responsabilidad. Queremos informarle sobre estos porque las vulnerabilidades encontradas afectan la seguridad de su instancia de Home Assistant.
Si no utiliza integraciones personalizadas, su Home Assistant no es vulnerable. Si usa integraciones personalizadas, su instancia podría ser vulnerable si usa una de las integraciones afectadas.
TL; DR:
- Se encontraron múltiples integraciones personalizadas que permitían a un atacante robar cualquier archivo sin iniciar sesión.
- Actualice Home Assistant lo antes posible. Home Assistant Core 2021.1.3 agregó protecciones adicionales que impiden que los atacantes alcancen el código vulnerable en integraciones personalizadas.
- Actualice las integraciones personalizadas a una versión fija o elimínelas de su instalación.
- Si ha utilizado alguna de las integraciones personalizadas con una vulnerabilidad conocida, le recomendamos que actualice sus credenciales.
En la mañana del jueves 14 de enero de 2021, el investigador de seguridad Oriel Goel informó al proyecto de integración personalizada Home Assistant Community Store (HACS) sobre una vulnerabilidad de seguridad. Era vulnerable a un ataque transversal de directorio a través de una vista web no autenticada, lo que permitía a un atacante acceder a cualquier archivo al que pudiera acceder el proceso de Home Assistant. Este acceso incluye cualquier credencial que pueda haber almacenado para permitir que Home Assistant acceda a otros servicios.
Comenzamos a investigar qué otras integraciones personalizadas podrían verse afectadas y encontramos varias más. Hemos informado de manera responsable estos problemas a los autores de esas integraciones personalizadas y hemos trabajado con ellos para corregir sus integraciones.
Se ha encontrado lo siguiente:
No hemos podido ponernos en contacto con los autores de la siguiente integración. Debe eliminar esta integración personalizada lo antes posible:
Se descubrió que la siguiente integración es vulnerable a una variante de la vulnerabilidad de seguridad anterior. Permite un ataque transversal de directorio, pero requiere que el atacante esté autenticado. No hemos podido comunicarnos con el autor:
Si ha utilizado alguna de estas integraciones personalizadas, le recomendamos que actualice sus credenciales.
Además de trabajar con los autores de la integración personalizada, se han realizado las siguientes acciones para ayudar a proteger a los usuarios:
- Home Assistant lanzó Home Assistant Core 2021.1.3 con protección adicional para detener los ataques transversales de directorio antes de llegar al código vulnerable. Esto evita el abuso de todas las vulnerabilidades encontradas.
- Home Assistant publicó un boletín de seguridad instando a las personas a actualizar su instancia de Home Assistant. Este boletín se ha compartido ampliamente y se ha vinculado desde banners en el sitio web y foros de Home Assistant.
- Home Assistant Supervisor notificará al usuario cuando se encuentre una posible instalación insegura que use integraciones personalizadas.
- Las aplicaciones Home Assistant Companion para Android e iOS se han actualizado para notificar al usuario si su instancia Home Assistant es potencialmente insegura.
- Nabu Casa envió por correo electrónico el boletín de seguridad a todos los suscriptores y usuarios de Home Assistant Cloud en prueba.
- Nabu Casa activó su función para limitar el acceso remoto a través de Home Assistant Cloud y bloquear instancias que ejecutan una versión insegura de Home Assistant.
Mira. Apesta que esto haya pasado. Las integraciones personalizadas que hemos enumerado son todas de código abierto, mantenidas por voluntarios en su tiempo libre. A menudo trabajan solos en esto y por eso es más probable que un error no se detecte. Pero tener más ojos tampoco garantiza un software libre de errores. De vez en cuando, estas cosas le sucederán a cada pieza de software.
Quiero enfatizar que no está permitido acosar / atacar / insultar personalmente a los desarrolladores de estas integraciones personalizadas. Eso sería una violación de nuestro Código de Conducta y lo haremos cumplir.
Como Home Assistant, podríamos haber hecho más para prepararnos para este escenario. Actualmente estamos explorando la posibilidad de agregar nuevas funciones de suscripción voluntaria para que los usuarios sean notificados y permitan que Home Assistant tome medidas preventivas para corregir vulnerabilidades.
Paulus
Índice
Preguntas más frecuentes
¿Por qué no publicaste los nombres de las integraciones personalizadas en el primer boletín de seguridad?
Cuando descubrimos los problemas, se los informamos a los autores de las integraciones personalizadas afectadas y les dimos tiempo para solucionar el problema y lanzar una nueva versión. Ésta es una práctica buena y común a la hora de revelar vulnerabilidades de seguridad.
Dado que algunas de estas integraciones personalizadas son bastante populares, también decidimos publicar un boletín de seguridad para instar a los usuarios de Home Assistant a actualizar sus instancias. Nos aseguramos de incluir suficiente información para que los usuarios resuelvan la vulnerabilidad.
¿Se ha abusado de esta vulnerabilidad?
No lo sabemos.
