AnyCubic, dünya çapında 3D yazıcılara güvenlik uyarıları yazdırmak için geçen ay kullanılan sıfır gün güvenlik açığını düzeltmek için yeni Kobra 2 ürün yazılımı yayınladı.
Şubat ayının sonunda, AnyCubic yazıcı kullanıcıları, Kobra 3D yazıcılarının cihazlarının kritik bir güvenlik açığına karşı savunmasız olduğu konusunda uyaran bir basılı işle hacklendiğini bildirmeye başladı.
Bu güvenlik açığı, saldırganların yazıcıya komut göndermek için şirketin MQTT Hizmet API'sındaki güvensiz izinleri kötüye kullanmasını sağladı.
Bu, saldırganın, bir metin düzenleyicisinde açıldığında kritik bir güvenlik açığının yazıcıları etkilediğine dair bir uyarı içeren 'hacked_machine_readme.gcode' adlı bir G-kod dosyasını sıralamasına izin verdi.
Metin dosyası, "Makinenizde kritik bir güvenlik açığı var, güvenliğiniz için önemli bir tehdit oluşturuyor. Hemen eylemin potansiyel sömürüyü önlemesi için şiddetle tavsiye ediliyor."
"Kötü bir aktör tarafından saldırıya uğramak istemiyorsanız yazıcınızı internetten ayırmaktan çekinmeyin. Bu sadece zararsız bir mesaj. Hiçbir şekilde zarar görmediniz."
Mesaj, "AnyCubic'i MQTT sunucusu için suçlamalısınız, bu da herhangi bir geçerli kimlik bilgisinin Matt API üzerinden yazıcınızı bağlamasına ve kontrol etmesine izin vermelisiniz. Sadece AnyCubic MQTT sunucusunu düzeltmesini umalım."
Araştırmacılar, AnyCube'a kusur hakkında üç kez e -posta gönderdiklerini ve göz ardı edildiklerini iddia ederek, yazıcı sahiplerini halka açık bir şekilde uyarmak için kusurdan yararlanmanın alışılmadık yaklaşımını almalarına yol açtı.
"Belirlediğimiz iki kritik güvenlik açığı konusunda AnyCubic ile iletişim kurmaya çalıştık, Partering'de bir kötü niyetle bulunursa felaket olabilir. Son iki aydaki çabalarımıza rağmen, üç e -postamıza tek bir yanıt almadık. Güvenlik açıkları önemlidir ve bunları ele almak için önemli zaman ve çaba harcadık, "diye araştırmacılardan bir forum yazısı okuyor.
"Sorunu dostane bir şekilde çözme niyetimize rağmen (ve hala içinde umuyoruz), endişelerimiz AnyCubic tarafından ciddiye alınmadı. Sonuç olarak, şimdi bu güvenlik açıklarını Repo'umuzla birlikte halka açıklamaya hazırlanıyoruz ve araçlarımız. "
5 Mart'ta AnyCubic, bu sıfır gün güvenlik açığı için bir düzeltme ile Kobra 2 Pro/Plus/Max 3D yazıcılar için yeni ürün yazılımı yayınladı.
AnyCube, BleepingComputer'a bir e -postada, "Swift eylemimizin yapıldığını bildirmek istiyoruz ve 5 Mart'ta özellikle vurgulanan güvenlik açıklarını ele almak için tasarlanmış yeni bir ürün yazılımı yayınladık." Dedi.
Sorunu çözmek için AnyCubic, uyarıları yazıcılara göndermek için istismar edilen MQTT sunucusunda güvenlik doğrulama ve yetkilendirme/izin yönetimini güçlendirdiklerini söylüyor.
Şirket, gelecekteki ürün yazılımı güncellemelerinde aşağıdaki güvenlik önlemlerini uygulamayı planladıklarını ve bir sonrakinin 13 Mart'ta planlandığını söylüyor.
Yazıcılarınızın AnyCubic'in bulut hizmetine erişmesinden rahatsız olanlar için şirket, yazıcı ekranı aracılığıyla WiFi'yi kapatmaya yönelik adımlar attı.
AnyCubic olay için özür dilese de, iki ay boyunca güvenlik araştırmacıları tarafından gönderilen üç e -postanın neden göz ardı edildiğini açıklamamışlardır.
AnyCubic 3D yazıcılar, güvenlik kusurunu ortaya çıkarmak için dünya çapında hacklendi
Apple, iPhone'lara yönelik saldırılarda sömürülen iki yeni iOS sıfır gününü düzeltir
Lazarus Hacker'ları çekirdek ayrıcalıkları kazanmak için Windows Zero Day'den yararlandı
Microsoft Şubat 2024 Patch Salı 2 sıfır gün, 73 kusur düzeltiyor
Google, casus yazılım satıcılarının çoğu sıfır günün arkasında olduğunu söylüyor
Kaynak: Bleeping Computer