Skip to content

Vulnerabilidad de seguridad del Supervisor

Se nos informó sobre una vulnerabilidad de seguridad del Supervisor que afecta a las instalaciones que utilizan el Supervisor de Home Assistant. Se ha implementado una solución para este problema de seguridad a través del sistema de actualización automática del Supervisor para todos los usuarios de Home Assistant afectados y este problema ya no está presente.

Puede verificar que ha recibido la actualización en la página «Acerca de Home Assistant» y verificar que está ejecutando Supervisor 2023.03.1 o posterior. Si no ve una versión de Supervisor en su página de Acerca de, no utiliza uno de los tipos de instalación afectados y no ha sido vulnerable.

El problema también se ha mitigado en Home Assistant 2023.3.0. Esta versión se lanzó el 1 de marzo y desde entonces ha sido instalada por el 33% de nuestros usuarios.

Índice de contenido

    Versión afectada por la vulnerabilidad de seguridad del Supervisor

    El problema de seguridad afectó a los tipos de instalación Home Assistant OS y Home Assistant Supervised. Esto incluye las instalaciones que se ejecutan en Home Assistant Blue y Home Assistant Yellow. Los otros dos tipos de instalación, Home Assistant Container (Docker) y Home Assistant Core (entorno propio de Python), no se han visto afectados.

    Créditos

    El problema de seguridad fue descubierto por Joseph Surin de elttam. Muchas gracias por llamar nuestra atención sobre esto.

    Sobre el problema de la vulnerabilidad de seguridad del Supervisor

    El Supervisor es una aplicación que forma parte de las instalaciones de Home Assistant OS y Home Assistant Supervised y es responsable de la gestión del sistema. El problema permitía a un atacante omitir la autenticación de forma remota e interactuar directamente con la API del Supervisor. Esto da al atacante acceso para instalar actualizaciones de Home Assistant y gestionar complementos y copias de seguridad. Nuestro análisis muestra que este problema ha estado en Home Assistant desde la introducción del Supervisor en 2017.

    Publicación de advertencia de seguridad CVE-2023-27482 en GitHub.

    Se ha descubierto una vulnerabilidad en el núcleo del asistente de hogar que permite a un atacante acceder a la API del Supervisor sin autenticación, lo que puede ser explotado de forma remota. Esta vulnerabilidad afecta a todas las instalaciones de Home Assistant que utilizan Supervisor 2023.01.1 o versiones anteriores. Sin embargo, las instalaciones que utilizan Home Assistant Container o Home Assistant Core manualmente no se ven afectadas. Se ha implementado una solución en la versión de Supervisor 2023.03.1 y se recomienda actualizar al menos a esa versión. Si no se puede actualizar en este momento, se recomienda no exponer la instancia de Home Assistant a Internet. La vulnerabilidad fue descubierta por Joseph Surin y se puede encontrar más información en los enlaces proporcionados.

    Parches

    El problema se ha mitigado y cerrado en la versión de Supervisor 2023.03.1, que se ha implementado en todas las instalaciones afectadas a través de la función de actualización automática de Supervisor. Esta implementación se completó en el momento de la publicación de este aviso.

    Home Assistant Core 2023.3.0 incluyó mitigación para esta vulnerabilidad. Por lo tanto, se recomienda actualizar al menos a esa versión.

    Soluciones alternativas

    En caso de que uno no pueda actualizar Home Assistant Supervisor o la aplicación Home Assistant Core en este momento, se recomienda no exponer su instancia de Home Assistant a Internet.

    Créditos

    El problema de seguridad fue encontrado por Joseph Surin de elttam . Muchas gracias por traer esto a nuestra atención.

    Referencias

    Preguntas frecuentes

    ¿SE HA ABUSADO DE ESTA VULNERABILIDAD?

    No lo sabemos. No hemos recibido informes de personas que hayan sido hackeadas.

    ¿HAY UNA SOLUCIÓN ALTERNATIVA?

    En caso de que no se pueda actualizar el Supervisor de Home Assistant o la aplicación Home Assistant Core en este momento, se recomienda no exponer su instancia de Home Assistant a Internet.

    Sígueme a YouTube

    Sígueme en YouTube - Vulnerabilidad de seguridad del Supervisor
    Ajustes