SANS警告說,將近3800臺(tái)3D打印機(jī)遭受攻擊
來源:narkii 瀏覽數(shù):
責(zé)任編輯:六月芳菲 時(shí)間:2018-09-06 10:26
責(zé)任編輯:六月芳菲 時(shí)間:2018-09-06 10:26
[導(dǎo)讀]沒有任何訪問控制或認(rèn)證要求。
根據(jù)SANS互聯(lián)網(wǎng)風(fēng)暴中心(ISC)的兩位安全研究人員Xavier Mertens和Richard Porter的博客文章,將近3800臺(tái)3D打印機(jī)開放,沒有任何訪問控制或認(rèn)證要求。
暴露的3D打印機(jī)正在使用名為OctoPrint的開源項(xiàng)目。它是3D打印機(jī)的Web界面,允許您從網(wǎng)絡(luò)上的幾乎任何瀏覽器輕松控制和監(jiān)控3D打印機(jī)和3D打印作業(yè)。該軟件為各地的制造商提供了一種有效的方式來跟蹤他們的印刷品,無論他們是否站在他們的3D打印機(jī)前。它可以讀取G代碼文件,查看網(wǎng)絡(luò)攝像頭源,查看打印機(jī)狀態(tài)和終端輸出等。但是,無需驗(yàn)證,這意味著隨機(jī)攻擊者也可以修改打印機(jī)的設(shè)置。
攻擊者可以下載未加密的G代碼項(xiàng)目文件,告訴打印機(jī)要打印什么。 “可以下載G代碼文件并導(dǎo)致潛在的商業(yè)秘密數(shù)據(jù)泄露,”研究人員寫道。 “事實(shí)上,許多公司研發(fā)部門正在使用3D打印機(jī)來開發(fā)和測(cè)試他們未來產(chǎn)品的某些部分。”
Porter和Mertens還認(rèn)為,匿名人員可以向打印機(jī)發(fā)送惡意G代碼文件,并指示在沒有人在場(chǎng)的情況下打印它并可能引發(fā)火災(zāi)。其他可能濫用G代碼文件包括未經(jīng)授權(quán)訪問3D打印機(jī)的網(wǎng)絡(luò)攝像頭,這可能會(huì)影響遠(yuǎn)程用戶隱私,或使用經(jīng)過修改的G代碼文件來破壞最終產(chǎn)品或?qū)е?D打印機(jī)故障。
他們寫道:“通過更改G代碼指令,您將指示設(shè)備打印對(duì)象,但更改的對(duì)象將不具有相同的物理功能,并且一旦使用就可能成為潛在的危險(xiǎn)。” “想想3D打印的槍支,還有無人機(jī)中使用的3D打印物體。無人機(jī)擁有者是自我印刷硬件的忠實(shí)粉絲。“
Shodan搜索顯示,有超過3,700個(gè)OctoPrint接口可在線獲得,其中包括美國近1,600個(gè)。
SANS ISC研究人員建議用戶在OctoPrint中啟用訪問控制功能。 OctoPrint的文檔中的警告顯示:“如果您打算通過互聯(lián)網(wǎng)訪問您的OctoPrint實(shí)例,請(qǐng)始終啟用訪問控制,理想情況下不要讓所有人通過互聯(lián)網(wǎng)訪問,而是使用VPN或至少使用HTTP基本 在OctoPrint上面的一層上進(jìn)行身份驗(yàn)證。“
在ISC博客文章之后,OctoPrint發(fā)布了Octoprint安全遠(yuǎn)程訪問指南。
“將OctoPrint放在互聯(lián)網(wǎng)上是危險(xiǎn)的。 如果您必須這樣做,請(qǐng)利用OctoPrint中內(nèi)置的ACL系統(tǒng),更好的是,在前面提供另一種形式的身份驗(yàn)證。 即使設(shè)置插件或VPN /反向代理似乎是額外的工作,也值得,“他們指出。
“任何有可能燒毀你房子的東西都應(yīng)該得到極其謹(jǐn)慎的對(duì)待。 偷工減料似乎更方便......但它真的值得嗎?“
cr.3ders
cr.3ders
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與納金網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
- 分享到:
相關(guān)閱讀
- 桂林南藥首屆文創(chuàng)產(chǎn)2024年10月23日
- 第二屆長治文化創(chuàng)意2024年10月23日
- 第七屆“東風(fēng)夢(mèng)想車2024年10月23日
- 2024中國制造之美終評(píng)2024年10月23日
- 人工智能快訊:微軟2024年10月23日
- 阿里云開源AI應(yīng)用開發(fā)2024年10月23日
- 如何將阿里云服務(wù)器2024年10月23日
- 首獎(jiǎng)10000元〡六盤水老2024年10月21日
- 2024福州市倉山區(qū)“煙2024年10月21日
- “海陸豐饒·助企興農(nóng)2024年10月18日
網(wǎng)友評(píng)論
您需要登錄后才可以發(fā)帖 登錄 | 立即注冊(cè)
關(guān)閉
- 用戶名:
- 密 碼:
- 驗(yàn)證碼: 看不清? 點(diǎn)擊更換
- 忘記密碼?
全部評(píng)論:0條
精采專題
-
3dmax8.0下載專題 3D建筑_3D設(shè)備模型下載專題 3d打印專題 創(chuàng)意抱枕專題 創(chuàng)意t恤專題 班徽設(shè)計(jì)專題 創(chuàng)意購物袋專題 德國IF設(shè)計(jì)獎(jiǎng)專題 創(chuàng)意電風(fēng)扇專題 創(chuàng)意移動(dòng)電源專題 小戶型空間創(chuàng)意設(shè)計(jì)專題 3d打印機(jī)專題 手提袋設(shè)計(jì)專題 變形金剛3d模型專題 有創(chuàng)意的儲(chǔ)蓄罐專題 假山3d模型專題 poser下載專題 創(chuàng)意小家電專題 鏡前燈3d模型免費(fèi)下載專題 3dmax2013專題
熱門文章
最新文章