當(dāng)前位置：主頁(yè) > 資訊 >

SANS警告說(shuō)，將近3800臺(tái)3D打印機(jī)遭受攻擊

來(lái)源：narkii 瀏覽數(shù)：
責(zé)任編輯：六月芳菲時(shí)間：2018-09-06 10:26

分享到：

[導(dǎo)讀]沒(méi)有任何訪問(wèn)控制或認(rèn)證要求。

根據(jù)SANS互聯(lián)網(wǎng)風(fēng)暴中心（ISC）的兩位安全研究人員Xavier Mertens和Richard Porter的博客文章，將近3800臺(tái)3D打印機(jī)開(kāi)放，沒(méi)有任何訪問(wèn)控制或認(rèn)證要求。

暴露的3D打印機(jī)正在使用名為OctoPrint的開(kāi)源項(xiàng)目。它是3D打印機(jī)的Web界面，允許您從網(wǎng)絡(luò)上的幾乎任何瀏覽器輕松控制和監(jiān)控3D打印機(jī)和3D打印作業(yè)。該軟件為各地的制造商提供了一種有效的方式來(lái)跟蹤他們的印刷品，無(wú)論他們是否站在他們的3D打印機(jī)前。它可以讀取G代碼文件，查看網(wǎng)絡(luò)攝像頭源，查看打印機(jī)狀態(tài)和終端輸出等。但是，無(wú)需驗(yàn)證，這意味著隨機(jī)攻擊者也可以修改打印機(jī)的設(shè)置。

攻擊者可以下載未加密的G代碼項(xiàng)目文件，告訴打印機(jī)要打印什么。 “可以下載G代碼文件并導(dǎo)致潛在的商業(yè)秘密數(shù)據(jù)泄露，”研究人員寫(xiě)道。 “事實(shí)上，許多公司研發(fā)部門正在使用3D打印機(jī)來(lái)開(kāi)發(fā)和測(cè)試他們未來(lái)產(chǎn)品的某些部分。”

Porter和Mertens還認(rèn)為，匿名人員可以向打印機(jī)發(fā)送惡意G代碼文件，并指示在沒(méi)有人在場(chǎng)的情況下打印它并可能引發(fā)火災(zāi)。其他可能濫用G代碼文件包括未經(jīng)授權(quán)訪問(wèn)3D打印機(jī)的網(wǎng)絡(luò)攝像頭，這可能會(huì)影響遠(yuǎn)程用戶隱私，或使用經(jīng)過(guò)修改的G代碼文件來(lái)破壞最終產(chǎn)品或?qū)е?D打印機(jī)故障。

他們寫(xiě)道：“通過(guò)更改G代碼指令，您將指示設(shè)備打印對(duì)象，但更改的對(duì)象將不具有相同的物理功能，并且一旦使用就可能成為潛在的危險(xiǎn)。” “想想3D打印的槍支，還有無(wú)人機(jī)中使用的3D打印物體。無(wú)人機(jī)擁有者是自我印刷硬件的忠實(shí)粉絲。“

Shodan搜索顯示，有超過(guò)3,700個(gè)OctoPrint接口可在線獲得，其中包括美國(guó)近1,600個(gè)。

SANS ISC研究人員建議用戶在OctoPrint中啟用訪問(wèn)控制功能。 OctoPrint的文檔中的警告顯示：“如果您打算通過(guò)互聯(lián)網(wǎng)訪問(wèn)您的OctoPrint實(shí)例，請(qǐng)始終啟用訪問(wèn)控制，理想情況下不要讓所有人通過(guò)互聯(lián)網(wǎng)訪問(wèn)，而是使用VPN或至少使用HTTP基本在OctoPrint上面的一層上進(jìn)行身份驗(yàn)證。“

在ISC博客文章之后，OctoPrint發(fā)布了Octoprint安全遠(yuǎn)程訪問(wèn)指南。

“將OctoPrint放在互聯(lián)網(wǎng)上是危險(xiǎn)的。如果您必須這樣做，請(qǐng)利用OctoPrint中內(nèi)置的ACL系統(tǒng)，更好的是，在前面提供另一種形式的身份驗(yàn)證。即使設(shè)置插件或VPN /反向代理似乎是額外的工作，也值得，“他們指出。

“任何有可能燒毀你房子的東西都應(yīng)該得到極其謹(jǐn)慎的對(duì)待。偷工減料似乎更方便......但它真的值得嗎？“

cr.3ders

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與納金網(wǎng)無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

TAGS：3D打印 3D打印機(jī)