Сбой в работе плагина привел к несанкционированной печати 3D-принтеров

Сбой в работе плагина привел к несанкционированной печати 3D-принтеров

3D-принтеры вдруг начали печатать таблички с предупреждением.

image

Утром в четверг, 19 августа, некоторые владельцы 3D-принтеров пришли в ужас – проснувшись, они обнаружили , что их устройства напечатали табличку с надписью «TSD небезопасен. Я подключился к вам наугад. Извините, но я должен был вас предупредить».

Как оказалось, причиной несанкционированной печати послужила уязвимость в плагине The Spaghetti Detective (TSD) для web-интерфейса OctoPrint 3D-принтеров. По словам разработчика TSD Кеннета Цзяна (Kenneth Jiang), в ночь перед печатью загадочных табличек он внес изменения в конфигурацию облака TSD с целью повышения скорости и производительности. Однако в процессе Цзян допустил ошибку, в результате которой в течение восьми часов пользователи, подключившие свои 3D-принтеры к учетной записи TSD, могли видеть принтеры друг друга через функцию автообнаружения и даже подключаться к ним. Проблема затронула 73 пользователя, на момент сбоя подключившихся к учетным записям TSD.

Один из способов подключения 3D-принтеров к учетной записи – воспользоваться функцией автообнаружения TSD. Работа данной функции основывается на факте, что у устройств в одной локальной сети общий IP-адрес. Поэтому сервер TSD может сопоставить Raspberry Pi с компьютером/смартфоном, находящимся в той же локальной сети, тем самым позволяя им обнаруживать друг друга.

Когда разработчик попытался изменить настройки балансировщика нагрузки, он по ошибке пропустил настройку, позволяющую балансировщику передавать IP-адрес подключающегося клиента к конечному серверу TSD. Вместо этого балансировщик передавал на сервер только собственный IP-адрес. В итоге сервер получал IP-адреса пользователей, подключивших свои 3D-принтеры к TSD в одно и то же время. Сервер решил, что все они находятся в одной локальной сети и поэтому позволял им подключаться друг к другу.

По словам Цзяна, инцидент не затронул никакой личной информации, и учетные данные не пострадали.

TSD – выпущенный в 2019 году плагин для web-интерфейса OctoPrint, предназначенный для выявления сбоев в работе принтеров с помощью камеры.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!