SANS警示：将近3800台3D打印机正在遭受攻击

2018年9月6日，3D虎从外媒获悉，SANS互联网风暴中心（ISC）的两位安全研究人员Xavier Mertens和Richard Porter 在博客文章中发表了一篇文章，其表明将近3800台开源3D打印机，没有达到认证要求，正在遭受攻击。

遭受攻击的3D打印机正在使用名为OctoPrint的开源项目。据悉，它是3D打印机的Web界面，允许您从网页上轻松控制和监控3D打印机。该软件为各地的制造商提供了一种有效的方式来远程跟踪他们的打印作品。它可以读取G代码文件，查看网络摄像头，查看3D打印机状态及终端输出等。但是，这些操作无需任何验证，这意味着攻击者们也可以修改3D打印机的设置。

攻击者可以下载未加密的G代码项目文件，告诉3D打印机要打印什么。“许多公司研发部门正在使用3D打印机来开发和测试他们未来产品，这可能将导致潜在的商业秘密数据泄露。”研究人员写道。

Porter和Mertens还认为，攻击者可以向3D打印机发送恶意G代码文件，并指示3D打印机在没有人在场的情况下进行打印，这可能引发火灾；攻击者还可以不经过授权去访问3D打印机的网络摄像头，这可能会导致用户的隐私泄漏；或使用经过修改的G代码文件来破坏最终产品导致3D打印机故障。

他们还在文章中写道：“通过更改G代码指令，可更改3D打印设备打印对象，但更改后的打印对象将不具备相同的物理性能，一旦使用将可能成为潜在的危险，比如：3D打印枪支以及无人机中使用的3D打印部件。”

据悉，目前有超过3,700个OctoPrint接口可在线获得，其中包括美国近1,600个。

SANS ISC研究人员建议用户在OctoPrint中启用访问控制功能。OctoPrint的文档中也有警告语：“如果您打算通过互联网访问您的OctoPrint项目，请始终启用访问控制，理想情况下不要让所有人通过互联网访问，而是使用VPN或至少使用HTTP进行身份验证。”

在文章末尾，两位研究人员还发表了OctoPrint指导，以安全远程访问。

将OctoPrint放在互联网上是危险的。如果您必须这样做，请利用OctoPrint中内置的ACL系统，最好是能提供另一种形式的身份验证。即使麻烦一点也值得，比如设置插件或VPN /反向代理等。