当前位置：主页 > 资讯 >

SANS警告说，将近3800台3D打印机遭受攻击

来源：narkii 浏览数：
责任编辑：六月芳菲时间：2018-09-06 10:26

分享到：

[导读]没有任何访问控制或认证要求。

根据SANS互联网风暴中心（ISC）的两位安全研究人员Xavier Mertens和Richard Porter的博客文章，将近3800台3D打印机开放，没有任何访问控制或认证要求。

暴露的3D打印机正在使用名为OctoPrint的开源项目。它是3D打印机的Web界面，允许您从网络上的几乎任何浏览器轻松控制和监控3D打印机和3D打印作业。该软件为各地的制造商提供了一种有效的方式来跟踪他们的印刷品，无论他们是否站在他们的3D打印机前。它可以读取G代码文件，查看网络摄像头源，查看打印机状态和终端输出等。但是，无需验证，这意味着随机攻击者也可以修改打印机的设置。

攻击者可以下载未加密的G代码项目文件，告诉打印机要打印什么。 “可以下载G代码文件并导致潜在的商业秘密数据泄露，”研究人员写道。 “事实上，许多公司研发部门正在使用3D打印机来开发和测试他们未来产品的某些部分。”

Porter和Mertens还认为，匿名人员可以向打印机发送恶意G代码文件，并指示在没有人在场的情况下打印它并可能引发火灾。其他可能滥用G代码文件包括未经授权访问3D打印机的网络摄像头，这可能会影响远程用户隐私，或使用经过修改的G代码文件来破坏最终产品或导致3D打印机故障。

他们写道：“通过更改G代码指令，您将指示设备打印对象，但更改的对象将不具有相同的物理功能，并且一旦使用就可能成为潜在的危险。” “想想3D打印的枪支，还有无人机中使用的3D打印物体。无人机拥有者是自我印刷硬件的忠实粉丝。“

Shodan搜索显示，有超过3,700个OctoPrint接口可在线获得，其中包括美国近1,600个。

SANS ISC研究人员建议用户在OctoPrint中启用访问控制功能。 OctoPrint的文档中的警告显示：“如果您打算通过互联网访问您的OctoPrint实例，请始终启用访问控制，理想情况下不要让所有人通过互联网访问，而是使用VPN或至少使用HTTP基本在OctoPrint上面的一层上进行身份验证。“

在ISC博客文章之后，OctoPrint发布了Octoprint安全远程访问指南。

“将OctoPrint放在互联网上是危险的。如果您必须这样做，请利用OctoPrint中内置的ACL系统，更好的是，在前面提供另一种形式的身份验证。即使设置插件或VPN /反向代理似乎是额外的工作，也值得，“他们指出。

“任何有可能烧毁你房子的东西都应该得到极其谨慎的对待。偷工减料似乎更方便......但它真的值得吗？“

cr.3ders

免责声明：本文仅代表作者个人观点，与纳金网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

TAGS：3D打印 3D打印机