SANS警告说,将近3800台3D打印机遭受攻击
时间:2018-09-06 08:43 来源:中国3D打印网 作者:DaZhou 阅读:次
暴露的3D打印机正在使用名为OctoPrint的开源项目。它是3D打印机的Web界面,允许您从网络上的几乎任何浏览器轻松控制和监控3D打印机和3D打印作业。该软件为各地的制造商提供了一种有效的方式来跟踪他们的印刷品,无论他们是否站在他们的3D打印机前。它可以读取G代码文件,查看网络摄像头源,查看打印机状态和终端输出等。但是,无需验证,这意味着随机攻击者也可以修改打印机的设置。
攻击者可以下载未加密的G代码项目文件,告诉打印机要打印什么。 “可以下载G代码文件并导致潜在的商业秘密数据泄露,”研究人员写道。 “事实上,许多公司研发部门正在使用3D打印机来开发和测试他们未来产品的某些部分。”
Porter和Mertens还认为,匿名人员可以向打印机发送恶意G代码文件,并指示在没有人在场的情况下打印它并可能引发火灾。其他可能滥用G代码文件包括未经授权访问3D打印机的网络摄像头,这可能会影响远程用户隐私,或使用经过修改的G代码文件来破坏最终产品或导致3D打印机故障。
他们写道:“通过更改G代码指令,您将指示设备打印对象,但更改的对象将不具有相同的物理功能,并且一旦使用就可能成为潜在的危险,想想3D打印的枪支,还有无人机中使用的3D打印物体。无人机拥有者是自我印刷硬件的忠实粉丝。“
Shodan搜索显示,有超过3,700个OctoPrint接口可在线获得,其中包括美国近1,600个。
SANS ISC研究人员建议用户在OctoPrint中启用访问控制功能。 OctoPrint的文档中的警告显示:“如果您打算通过互联网访问您的OctoPrint实例,请始终启用访问控制,理想情况下不要让所有人通过互联网访问,而是使用VPN或至少使用HTTP基本在OctoPrint上面的一层上进行身份验证。“
在ISC博客文章之后,OctoPrint发布了Octoprint安全远程访问指南。“将OctoPrint放在互联网上是危险的。如果您必须这样做,请利用OctoPrint中内置的ACL系统,更好的是,在前面提供另一种形式的身份验证。即使设置插件或VPN /反向代理等“。
中国3D打印网译自:3ders.org
(责任编辑:admin)
3D打印黄金吊坠让人们铭记
令人惊艳的3D打印喷气飞行
全球PK 3D打印PPSU,SOLVA
看3D打印自动化单元如何在
大型高精度电子结构件产品
新型防伪技术:同一束光照
用于细胞3D打印的热点内容
