Nästan 3 800 3D-skrivare lämnas öppna utan åtkomstkontroll eller autentiseringskrav, enligt en bloggpost från Xavier Mertens och Richard Porter, två säkerhetsforskare från SANS Internet Storm Center (ISC).
De exponerade 3D-skrivarna använder ett open source program med namnet OctoPrint. Det är ett webbgränssnitt för 3D-skrivare som gör att du enkelt kan styra och övervaka dina 3D-skrivare och 3D-utskriftsjobb från nästan vilken webbläsare som helst i ditt nätverk. Programvaran har erbjudit tillverkare överallt ett effektivt sätt att hålla reda på sina utskrifter utan att behöva övervaka sin 3D-skrivare. Programvaran kan läsa G-kodfiler, visa webbkameramatningen, se skrivarstatus och terminalutgång m.m. Men utan att behöva autentisering betyder det att slumpmässiga angripare också kan ändra skrivarens inställningar.
Hackare kan ladda ner de okrypterade G-kodprojektfilerna, vilket berättar för skrivaren vad som ska skrivas ut. "G-kodfiler kan laddas ner och leda till potentiellt dataläckage", skriver forskarna. "Faktum är att många företag använder 3D-skrivare för att utveckla och testa några delar av deras framtida produkter."
Porter och Mertens argumenterar också för att en anonym person kan skicka en skadlig G-kodfil till skrivaren och instruera att skriva ut det medan ingen är kvar och potentiellt orsakar bränder. Andra möjliga missbruk av G-kodfiler inkluderar otillåtet åtkomst till en 3D-skrivarens webbkamera som kan påverka användarens privatliv eller använda G-kodfiler som har ändrats för att sabotera slutprodukterna eller orsaka funktionsfel i 3D-skrivaren.
"Genom att ändra G-kodfilen instruerar du enheten att skriva ut objektet, men modellen kanske inte har samma fysiska egenskaper som planerat och kan vara en potentiell fara när de används," skriver forskarna. "Tänk på 3D-printade pistoler, men även 3D-printade objekt som används i drönare."
En undersökning avslöjar att över 3.700 instanser av OctoPrint-gränssnitt finns tillgängliga online.
SANS ISC forskare rekommenderar användarna att aktivera Access Control-funktionen i OctoPrint. En varning i OctoPrints dokumentation lyder: "Om du planerar att få din OctoPrint-instans tillgänglig över internet, aktivera alltid Access Control och gör det inte lättillgängligt för alla över internet men istället använda ett VPN eller åtminstone HTTP-bas autentisering i OctoPrint. "
I kölvattnet av ISC: s bloggpost publicerade OctoPrint en guide till säker fjärråtkomst av Octoprint.
"Att lägga OctoPrint på internet kan vara riskabelt. Om du måste göra det, utnyttja ACL-systemet inbyggt i OctoPrint, och ännu bättre, sätt en annan typ av autentisering framför. Även om det känns som extra arbete att installera ett plugin, eller en VPN / omvänd proxy, är det värt det. Allt som har potential att bränna ner ditt hus bör behandlas med största försiktighet."