AnyCubic, dünya çapındaki 3D yazıcılarda güvenlik uyarıları yazdırmak için geçen ay istismar edilen sıfır gün güvenlik açığını gidermek için yeni Kobra 2 aygıt yazılımını yayınladı.
Şubat ayının sonunda AnyCubic yazıcı kullanıcıları, Kobra 3D yazıcılarının, cihazlarının kritik bir güvenlik açığına karşı savunmasız olduğu konusunda uyaran bir yazdırma işiyle saldırıya uğradığını bildirmeye başladı.
Bu güvenlik açığı, saldırganların şirketin MQTT hizmet API'sindeki güvenli olmayan izinleri kullanarak yazıcıya komut göndermesine olanak sağladı.
Bu, saldırganın, bir metin düzenleyicide açıldığında kritik bir güvenlik açığının yazıcıları etkilediğine dair bir uyarı içeren 'hacked_machine_readme.gcode' adlı bir G kodu dosyasını kuyruğa almasına olanak sağladı.
Metin dosyasında “Makinenizde, güvenliğiniz için önemli bir tehdit oluşturan kritik bir güvenlik açığı var. Potansiyel istismarın önlenmesi için derhal harekete geçilmesi önemle tavsiye edilir.” ifadesi yer alıyor.
“Kötü bir kişinin saldırısına uğramak istemiyorsanız yazıcınızın İnternet bağlantısını kesmekten çekinmeyin. Bu yalnızca zararsız bir mesajdır. Hiçbir şekilde zarar görmediniz.”
Kaynak: lilputman
Mesaj şöyle devam etti: “Matt API aracılığıyla geçerli herhangi bir kimlik bilgisinin yazıcınıza bağlanmasına ve kontrol etmesine izin veren mqtt sunucusu için anycubic'i suçlamalısınız. Anycubic'in mqtt sunucusunu düzelteceğini umalım.”
Araştırmacılar, kusur hakkında AnyCube'e üç kez e-posta gönderdiklerini ve göz ardı edildiğini, bunun da yazıcı sahiplerini kamuya açık bir şekilde uyarmak için kusurdan yararlanarak alışılmışın dışında bir yaklaşım benimsemelerine yol açtığını iddia ediyorlar.
“Tanımladığımız iki kritik güvenlik açığıyla ilgili olarak Anycubic ile iletişime geçmeye çalıştık, özellikle bunlardan biri kötü amaçlı bir kişi tarafından bulunursa felaketle sonuçlanabilir. Son iki aydaki çabalarımıza rağmen üç e-postamıza tek bir yanıt alamadık. Bunlar Güvenlik açıkları önemli ve bunları ele almak için önemli miktarda zaman ve çaba harcadık” diyor araştırmacıların bir forum gönderisinde.
“Sorunu dostane bir şekilde çözme niyetimize rağmen (ve hala bunu umuyoruz), endişelerimizin Anycubic tarafından ciddiye alınmadığı görülüyor. Sonuç olarak, şimdi bu güvenlik açıklarını depomuzla birlikte kamuoyuna açıklamaya hazırlanıyoruz ve araçlarımız.”
AnyCubic bir güvenlik güncellemesi yayınladı
5 Mart'ta AnyCubic, Kobra 2 Pro/Plus/Max 3D yazıcılar için bu sıfır gün güvenlik açığına yönelik bir düzeltme içeren yeni aygıt yazılımını yayınladı.
AnyCube, BleepingComputer'a bir e-postada şunları söyledi: “Bizim tarafımızdan hızlı bir şekilde harekete geçildiğini ve 5 Mart'ta, özellikle vurgulanan güvenlik açıklarını gidermek için tasarlanmış yeni bir aygıt yazılımını yayınladığımızı size bildirmek istiyoruz.”
Sorunu çözmek için AnyCubic, yazıcılara uyarı göndermek için kötüye kullanılan MQTT sunucusundaki güvenlik doğrulamasını ve yetkilendirme/izin yönetimini güçlendirdiklerini söyledi.
Şirket, gelecekteki ürün yazılımı güncellemelerinde aşağıdaki güvenlik önlemlerini uygulamayı planladıklarını ve bir sonraki güncellemenin 13 Mart'ta yapılması planlandığını söylüyor.
- Hizmetlere harici erişimi kısıtlamak için ağ bölümlendirme önlemlerinin uygulanması
- Sistemler, yazılım ve MQTT sunucusu için düzenli denetimler ve güncellemeler gerçekleştirmek
Yazıcılarınızın AnyCubic'in bulut hizmetine erişmesinden rahatsız olanlar için şirket, WiFi'yi yazıcı ekranı aracılığıyla kapatmaya yönelik adımlar sağladı.
AnyCubic olaydan dolayı özür dilese de güvenlik araştırmacıları tarafından iki ay boyunca gönderilen üç e-postanın neden göz ardı edildiğini hala açıklamadılar.