据SANS互联网风暴中心（SANS Internet Storm Center）称，Shodan的搜索结果显示有超过3700个OctoPrint接口暴露在互联网上，其中有近1600个位于美国。

OctoPrint是一款面向3D打印机的免费开源Web界面，允许用户监控和控制设备的各各项功能，包括打印作业（OctoPrint可用于启动、停止或暂停打印作业）。另外，它还提供了对打印机内置网络摄像头的访问，提供有关打印作业进度的信息，并监控关键组件的温度。

虽然看起来未能保护3D打印机免受未经授权的访问似乎并不会构成重大风险，但来自SANS互联网风暴中心的Xavier Mertens警告说，攻击者在获取到访问权限之后完全可以进行各种各样的恶意操作。

例如，他们可以访问G-code文件。所谓G-code文件，指的是3D模型在进入3D打印机实际打印之前，必须要经过切片器处理而成的一种中间格式文件。这种中间格式文件的内容，实际上每一行都是3D打印机固件所能理解的命令。对于企业而言，这些文件往往存储有价值极高的商业机密。

“事实上，许多企业的研发部门都在使用3D打印机来开发和测试他们未来产品的某些部分。”Mertens 指出。
SANS互联网风暴中心的研究人员指出，攻击者还可以将自定义的G-code文件上传到未受保护的打印机。当没有操作人员在场时，他们可以指示设备开始打印作业，或者对原始G-code指令进行细微的修改。

“通过修改G-code指令，你可以指示设备打印3D模型，但使用经修改后的G-code指令打印出来的模型所具备的功能可能会与预期的功能有所不同，在使用中可能存在潜在的危险。”Mertens解释说，“举例来说，想想通过3D打印的枪支，还有在无人机中使用的3D打印组件。”

另一方面，由于OctoPrint也被用于监控关键组件的温度，因此鉴于3D打印机系统在运行期间产生的高温，攻击者利用OctoPrint来故意纵火也并非是不可能的。

最后，由于OctoPrint还提供了对打印机内置网络摄像头的访问，因此攻击者完全可以利用这一功能来实施监控行为。
值得注意的是，以上提到的这些潜在攻击方式并非来自OctoPrint的安全漏洞。相反，它们来自用户的不安全配置。OctoPrint的开发人员建议用户应启用访问控制功能，并在需要远程访问时采取其他措施来保护设备。禁用访问控制，意味着任何人都可以远程获得对打印机的完全控制权限。

“如果你打算通过互联网访问你的OctoPrint实例，那么一定要启用访问控制，最好不要让所有人都通过互联网访问它，而是使用VPN，或者至少对OctoPrint应用HTTP基本身份验证。”OctoPrint在安全建议中写道。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。