3D_Printer_hacked

AnyCubic a publié un nouveau micrologiciel Kobra 2 pour corriger une vulnérabilité zero-day exploitée le mois dernier pour imprimer des avertissements de sécurité sur des imprimantes 3D du monde entier.

Fin février, les utilisateurs d’imprimantes AnyCubic ont commencé à signaler que leurs imprimantes 3D Kobra avaient été piratées avec un travail d’impression avertissant que leurs appareils étaient vulnérables à une vulnérabilité critique.

Cette vulnérabilité a permis aux attaquants d’abuser des autorisations non sécurisées de l’API de service MQTT de l’entreprise pour envoyer des commandes à l’imprimante.

Cela a permis à l’attaquant de mettre en file d’attente un fichier de code G nommé ‘hacked_machine_readme.gcode,  » qui, lorsqu’il était ouvert dans un éditeur de texte, contenait un avertissement indiquant qu’une vulnérabilité critique avait affecté les imprimantes.

« Votre machine présente une vulnérabilité critique, constituant une menace importante pour votre sécurité. Une action immédiate est fortement conseillée pour prévenir une éventuelle exploitation », indique le fichier texte.

« N’hésitez pas à déconnecter votre imprimante d’Internet si vous ne voulez pas vous faire pirater par un mauvais acteur. C’est juste un message inoffensif. Vous n’avez été blessé d’aucune façon. »

Message laissé sur les imprimantes 3D Anycubic piratées

« Vous devriez blâmer anycubic pour son serveur mqtt qui permet à toute information d’identification valide de se connecter et de contrôler votre imprimante via l’API matt. Espérons simplement qu’anycubic corrige son serveur mqtt », a poursuivi le message.

Les chercheurs affirment qu’ils ont envoyé trois courriels à AnyCube au sujet de la faille et qu’ils ont été ignorés, ce qui les a amenés à adopter l’approche peu orthodoxe consistant à exploiter la faille pour avertir publiquement les propriétaires d’imprimantes.

« Nous avons tenté de communiquer avec Anycubic concernant deux vulnérabilités de sécurité critiques que nous avons identifiées, en particulier une qui peut être catastrophique si elle est découverte par un malveillant. Malgré nos efforts au cours des deux derniers mois, nous n’avons pas reçu une seule réponse à nos trois courriels. Ces vulnérabilités sont importantes, et nous avons investi beaucoup de temps et d’efforts pour y remédier », peut-on lire sur un forum des chercheurs.

« Malgré notre intention initiale de résoudre le problème à l’amiable (et nous l’espérons toujours), il semble que nos préoccupations n’aient pas été prises au sérieux par Anycubic. Par conséquent, nous nous préparons maintenant à divulguer ces vulnérabilités au public avec notre dépôt et nos outils. »

AnyCubic publie une mise à jour de sécurité
Le 5 mars, AnyCubic a publié un nouveau micrologiciel pour les imprimantes 3D Kobra 2 Pro/Plus/Max avec un correctif pour cette vulnérabilité zero-day.

« Nous voulons vous informer que des mesures rapides ont été prises de notre part et que nous avons publié un nouveau micrologiciel le 5 mars, spécialement conçu pour remédier aux vulnérabilités mises en évidence », a déclaré AnyCube à Breachtrace dans un e-mail.

Pour résoudre le problème, AnyCubic affirme avoir renforcé la vérification de la sécurité et la gestion des autorisations/autorisations sur son serveur MQTT, qui a été abusé pour envoyer les avertissements aux imprimantes.

La société indique qu’elle prévoit de mettre en œuvre les mesures de sécurité suivantes dans les futures mises à jour du micrologiciel, la prochaine étant prévue pour le 13 mars.

  • Mettre en œuvre des mesures de segmentation du réseau pour restreindre l’accès externe aux services
  • Effectuer des audits réguliers et des mises à jour pour les systèmes, les logiciels et le serveur MQTT

Pour ceux qui ne sont pas à l’aise avec l’accès de leurs imprimantes au service cloud d’AnyCubic, la société a fourni des étapes pour désactiver le WiFi via l’écran de l’imprimante.

Bien que Any Cubic s’excuse pour l’incident, ils n’ont toujours pas expliqué pourquoi trois courriels envoyés par les chercheurs en sécurité sur deux mois ont été ignorés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *