根据SANS互联网风暴中心(ISC)的两位安全研究人员Xavier Mertens和Richard Porter的博客文章,将近3800台3D打印机开放,没有任何访问控制或认证要求。 暴露的3D打印机正在使用名为OctoPrint的开源项目。它是3D打印机的Web界面,允许您从网络上的几乎任何浏览器轻松控制和监控3D打印机和3D打印作业。该软件为各地的制造商提供了一种有效的方式来跟踪他们的打印品,无论他们是否站在他们的3D打印机前。它可以读取G代码文件,查看网络摄像头源,查看打印机状态和终端输出等。但是,无需验证,这意味着随机攻击者也可以修改打印机的设置。 [图片] 攻击者可以下载未加密的G代码项目文件,告诉打印机要打印什么。 “可以下载G代码文件并导致潜在的商业秘密数据泄露,”研究人员写道。 “事实上,许多公司研发部门正在使用3D打印机来开发和测试他们未来产品的某些部分。” Porter和Mertens还认为,匿名人员可以向打印机发送恶意G代码文件,并指示在没有人在场的情况下打印它并可能引发火灾。其他可能滥用G代码文件包括未经授权访问3D打印机的网络摄像头,这可能会影响远程用户隐私,或使用经过修改的G代码文件来破坏最终产品或导致3D打印机故障。 他们写道:“通过更改G代码指令,您将指示设备打印对象,但更改的对象将不具有相同的物理功能,并且一旦使用就可能成为潜在的危险。” “想想3D打印的枪支,还有无人机中使用的3D打印物体。无人机用户是自我打印硬件的忠实粉丝。“ Shodan搜索显示,有超过3,700个OctoPrint接口可在线获得,其中包括美国近1,600个。 [图片] SANS ISC研究人员建议用户在OctoPrint中启用访问控制功能。 OctoPrint的文档中的警告显示:“如果您打算通过互联网访问您的OctoPrint实例,请始终启用访问控制,理想情况下不要让所有人通过互联网访问,而是使用VPN或至少使用HTTP基本在OctoPrint上面的一层上进行身份验证。“ 在ISC博客文章之后,OctoPrint发布了Octoprint安全远程访问指南。 “将OctoPrint放在互联网上是危险的。如果你必须这样做,请利用OctoPrint中内置的ACL系统,更好的是,在前面提供另一种形式的身份验证。即使设置插件或VPN /反向代理似乎是额外的工作,也值得,“他们指出。 “任何有可能烧毁你房子的东西都应该得到极其谨慎的对待。这样似乎更方便......但它真的值得吗?“
- 暂无回复 -