Сбой в работе плагина привел к несанкционированной печати 3D-принтеров
3D-принтеры вдруг начали печатать таблички с предупреждением.
Утром в четверг, 19 августа, некоторые владельцы 3D-принтеров пришли в ужас – проснувшись, они обнаружили , что их устройства напечатали табличку с надписью «TSD небезопасен. Я подключился к вам наугад. Извините, но я должен был вас предупредить».
Как оказалось, причиной несанкционированной печати послужила уязвимость в плагине The Spaghetti Detective (TSD) для web-интерфейса OctoPrint 3D-принтеров. По словам разработчика TSD Кеннета Цзяна (Kenneth Jiang), в ночь перед печатью загадочных табличек он внес изменения в конфигурацию облака TSD с целью повышения скорости и производительности. Однако в процессе Цзян допустил ошибку, в результате которой в течение восьми часов пользователи, подключившие свои 3D-принтеры к учетной записи TSD, могли видеть принтеры друг друга через функцию автообнаружения и даже подключаться к ним. Проблема затронула 73 пользователя, на момент сбоя подключившихся к учетным записям TSD.
Один из способов подключения 3D-принтеров к учетной записи – воспользоваться функцией автообнаружения TSD. Работа данной функции основывается на факте, что у устройств в одной локальной сети общий IP-адрес. Поэтому сервер TSD может сопоставить Raspberry Pi с компьютером/смартфоном, находящимся в той же локальной сети, тем самым позволяя им обнаруживать друг друга.
Когда разработчик попытался изменить настройки балансировщика нагрузки, он по ошибке пропустил настройку, позволяющую балансировщику передавать IP-адрес подключающегося клиента к конечному серверу TSD. Вместо этого балансировщик передавал на сервер только собственный IP-адрес. В итоге сервер получал IP-адреса пользователей, подключивших свои 3D-принтеры к TSD в одно и то же время. Сервер решил, что все они находятся в одной локальной сети и поэтому позволял им подключаться друг к другу.
По словам Цзяна, инцидент не затронул никакой личной информации, и учетные данные не пострадали.
TSD – выпущенный в 2019 году плагин для web-интерфейса OctoPrint, предназначенный для выявления сбоев в работе принтеров с помощью камеры.
Тени в интернете всегда следят за вами