数千台 3D 打印机易遭远程攻击
翻译:360代码卫士团队
数千台 3D 打印机无需任何认证即可直接遭恶意人员访问并控制。
SANS 互联网风暴中心指出,Shodan 搜索发现了暴露在 Web 上的3700多个 OctoPrint 接口实例,其中近1600台位于美国。
OctoPrint 是一款免费的开源 3D 打印机 web 接口,可允许用户监控并控制设备和打印任务的详情。OctoPrint 可被用于启动、停止或暂停打印任务,提供对打印机嵌入式网络摄像头的访问权限,提供打印任务进程信息并监控关键组件的温度。
未授权访问的风险
虽然看似未能阻止 3D 打印机遭未经授权的访问不会带来巨大风险,但 SANS 公司的 Xavier Mertens 警告称,攻击者能执行大量恶意活动。例如,攻击者能访问 G-code 文件即包含需要打印 3D 物体所需指南的文本文件。而组织机构能够通过这些文件存储有价值的商业机密。Mertens 指出,“确实,很多公司的研发部门正在用 3D 打印机开发并测试某些未来产品。”
他还指出,攻击者还能将特殊构造的 G-code 文件上传至未受保护的打印机。当旁边没有其他人时,攻击者能下令设备开始打印或对代码做出些许更改。Mertens 解释称,“通过更改 G-code 指令,你将能够指令设备打印物体但修改后的设备并不具备相同的物理能力,一旦应用会带来潜在危险。比如用于无人机中的 3D 打印的枪支以及其它 3D 打印的物体。无人机机主非常热衷于自我打印的硬件。”
3D 打印机能引发火灾,而鉴于系统运营过程中的高温情况,攻击者也有可能有意制造火灾。攻击者还能够通过嵌入式网络摄像头监控易受攻击打印机的机主。
设备配置不安全是主因
这些攻击之所以很可能发生,并非是因为 OctoPrint 中存在某些严重漏洞,而是因为用户未能安全地配置设备。
OctoPrint 开发人员建议用户启用“访问控制”功能并采取其它措施在要求远程访问时加固设备安全。如果禁用了该功能,那么任何人均可远程获取对打印机的完全控制权限。
OctoPrint 在文档中指出,“如果计划在互联网上访问 OctoPrint 实例,那么要记得启用访问控制功能,在理想情况下不应该让所有人均可访问,而是使用 VPN 或至少对 OctoPrint 之上的层开展基本的 HTTP 验证。包括加热器和步进电机在内的物理设备实际上不应该被能访问互联网的任何人公开,即使是启用了访问控制功能也不例外。”
关联阅读
原文链接
https://www.securityweek.com/thousands-3d-printers-exposed-remote-attacks
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。