2018年9月6日,3D虎从外媒得知,SANS互联网风暴中心(ISC)的两位安全性研究人员XavierMertens和RichardPorter在博客文章中公开发表了一篇文章,其指出将近3800台开源3D打印机,没超过证书拒绝,正在遭到反击。遭到反击的3D打印机正在用于取名为OctoPrint的开源项目。
据报,它是3D打印机的Web界面,容许您从网页上精彩掌控和监控3D打印机。该软件为各地的制造商获取了一种有效地的方式来远程追踪他们的打印机作品。它可以加载G代码文件,查阅网络摄像头,查阅3D打印机状态及终端输入等。
但是,这些操作者需要任何检验,这意味著攻击者们也可以改动3D打印机的设置。攻击者可以iTunes并未加密的G代码项目文件,告诉他3D打印机要打印机什么。“许多公司研发部门正在用于3D打印机来研发和测试他们未来产品,这有可能将造成潜在的商业秘密数据泄漏。
”研究人员写到。Porter和Mertens还指出,攻击者可以向3D打印机发送到蓄意G代码文件,并命令3D打印机在没有人到场的情况下展开打印机,这有可能引起火灾;攻击者还可以不经过许可去采访3D打印机的网络摄像头,这可能会导致用户的隐私外泄;或用于经过改动的G代码文件来毁坏最后产品造成3D打印机故障。他们还在文章中写到:“通过变更G代码指令,可更改3D打印机设备打印机对象,但变更后的打印机对象将不具备完全相同的物理性能,一旦用于将有可能沦为潜在的危险性,比如:3D打印机枪支以及无人机中用于的3D打印机部件。”据报,目前有多达3,700个OctoPrint模块可在线取得,其中还包括美国近1,600个。
SANSISC研究人员建议用户在OctoPrint中落成访问控制功能。OctoPrint的文档中也有警告语:“如果您想通过互联网采访您的OctoPrint项目,请求一直落成访问控制,理想情况下不要让所有人通过互联网采访,而是用于VPN或最少用于HTTP展开身份验证。”在文章末尾,两位研究人员还公开发表了OctoPrint指导,以安全性远程访问。
将OctoPrint放到互联网上是危险性的。如果您必需这样做到,请求利用OctoPrint中内置的ACL系统,最差是能获取另一种形式的身份验证。
即使困难一点也有一点,比如设置插件或VPN/偏移代理等。
本文关键词:abg欧博官方网站,SANS,警示,将近,3800台,打印机,正在,遭受,攻击
本文来源:abg欧博官方网站-www.maritzacabrera.com