Esphome güvenlik açığı, akıllı cihazlara yetkisiz erişim sağlar


Esphome’un ESP-IDF Web Sunucusu bileşenindeki kritik bir kimlik doğrulama baypas kusuru, aynı yerel ağdaki yetkisiz kullanıcıların geçerli kimlik bilgileri olmadan akıllı cihazlara erişmesine ve kontrol etmesine olanak tanır.

Güvenlik araştırmacısı Jesserockz tarafından keşfedilen ve bildirilen güvenlik açığı (CVE-2025-57808), boş veya kısmen doğru yetkilendirme başlıklarını kabul ederek temel kimlik doğrulamasını baltalamaktadır.

Esphome sürüm 2025.8.0 kullanıcılarının riski azaltmak için hemen 2025.8.1’e yükseltmesi istenir.

Akıllı ev cihazları için ürün yazılımı oluşturmak için popüler bir açık kaynak çerçevesi olan Esphome, Web_Server bileşeni aracılığıyla HTTP temel kimlik doğrulamasını destekler.

ESP-IDF platformunda, bu kimlik doğrulama mekanizması, yetkilendirme üstbilgisinin Base64 değeri boş veya kesildiğinde istemci tarafından desteklenen kimlik bilgilerini doğru bir şekilde doğrulayamaz.

Tedarik edilen dizenin sadece ilk baytlarını beklenen değerle karşılaştırarak, sağlanan parça meşru kimlik bilgisinin önekiyle eşleşiyorsa sunucu erişim verir.

Boş bir yetkilendirme değeri bile kontrolü tamamen atlar ve saldırganların kullanıcı adı veya şifre bilgisi olmadan korunan uç noktalara ulaşmasını sağlar.

Kavram kanıtı

Kavram kanıtı gösterisinde, aşağıdaki esphome konfigürasyonu kullanıldı:

textesp32:
  board: ...
  framework:
    type: esp-idf
web_server:
  auth:
    username: user
    password: somereallylongpass

Doğru kimlik bilgilerine sahip bir tarayıcı aracılığıyla cihaza erişmek (user:somereallylongpass) tasarlandığı gibi başarılı olur. Ancak, şifrenin yalnızca bir alt çizgisini göndererek – somereallysomehatta tek karakter s—Batçılar da giriş kazanabilir.

Kusur, AsyncWebServerRequest::authenticatetüm kimlik bilgisi dizesini doğrulamak yerine karşılaştırmayı kesinleştirmek için sağlanan başlığın uzunluğunu kullanan.

Daha doğrudan bir bypass basit bir curl emretmek:

text$ curl -D- http://example.local/
HTTP/1.1 401 Unauthorized
…

$ curl -D- -H 'Authorization: Basic ' http://example.local/
HTTP/1.1 200 OK
…

“Basic” den sonra boş bir Base64 jetonu göndererek sunucu, bunu yanlış bir şekilde geçerli kimlik doğrulaması olarak ele alır ve HTTP 200 OK ile yanıt verir.

Etki ve risk

Bu yüksek şiddetli güvenlik açığı, Web_Server bileşeni etkinken ESP-IDF’de çalışan herhangi bir esphome güçlü cihaz için önemli bir risk oluşturmaktadır. Yerel ağ erişimine sahip saldırganlar aşağıdakilere kimlik doğrulamasını atlayabilir:

  • OTA (OTA) Üst üste tetikleyici OTA etkinleştirilirse, potansiyel olarak kötü amaçlı ürün yazılımı yüklenir.
  • Hassas bilgileri açığa çıkararak cihazı yapılandırmasına ve durum sayfalarına erişim.
  • Cihaz ayarlarını manipüle edin veya kullanıcı onayı olmadan aygıt eylemlerini tetikleyin.

Birçok akıllı ev kurulumunun tamamen özel LAN’lar içinde çalıştığı göz önüne alındığında, saldırganlar, meşru kimlik bilgileri bilgisi olmadan bile, bu kusuru uzaktan istismar etmek için ARP sahtekarlığı gibi uzatılmış cihazlardan veya tekniklerden yararlanabilir.

Hafifletme

ESphome Bakımcılar, tam Base64 kodlu kimlik bilgisi dizesinin tam olarak eşleşmesini gerektirerek kimlik doğrulama mantığını düzelten 2025.8.1 sürümünü yayınladı. ESphome 2025.8.0’ın tüm kullanıcılarına en kısa sürede 2025.8.1’e yükseltmeleri tavsiye edilir.

Cihazlar yamalanana kadar yöneticiler şunları göz önünde bulundurmalıdır.

  • Devre dışı bırakma web_server Tüm ESP-IDF tabanlı Esphome cihazlarındaki bileşen.
  • Ağ erişimini yalnızca güvenilir ana bilgisayarlara kısıtlamak, VLAN’ları veya güvenlik duvarı kurallarını kullanır.
  • OTA güncellemelerini web sunucusu aracılığıyla devre dışı bırakma ve alternatif güncelleme mekanizmalarına geçme.

Ağ segmentasyonu ve katı erişim kontrolleri pozlamayı azaltabilir, ancak garantili tek çözüm yamayı uygulamaktır.

  • Keşif: Jesserockz tarafından GitHub Güvenlik Danışmanlığı GHSA-MXH2-CCGJ-8635 hakkında bildirildi.
  • Etkilenen sürümler: Esphome 2025.8.0.
  • Yamalı versiyonlar: Esphome 2025.8.1.
  • CVE kimliği: CVE-2025-57808.
  • CVSS V3.1 Taban Puanı: 7.3 (yüksek) [AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N].

Esphome Web_Server Kimlik Doğrulama Bypass, ince uygulama hatalarının güvenlik önlemlerini etkisiz hale getirebileceğini açık bir hatırlatmadır.

Akıllı ev operatörleri uyanık kalmalı, derhal güncellemeler uygulamalı ve yetkisiz erişime karşı korunmak için ağ güvenliği en iyi uygulamalarını uygulamalıdır.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link