เครื่องพิมพ์ 3 มิติหลายพันเสี่ยงต่อการถูกโจมตีผ่านอินเทอร์เน็ต

SANS Internet Storm Center ได้เผยว่ามีเครื่องพิมพ์ 3 มิติประมาณ 3,700 ตัว (อ้างอิงจาก Shodan Search) ที่ใช้งาน OctoPrint มีความเสี่ยงต่อการถูกโจมตีผ่านอินเทอร์เน็ตเพราะตั้งค่าป้องกันการเข้าถึงได้ไม่ดีพอ ซึ่งเกือบครึ่งหนึ่งอยู่ในสหรัฐอเมริกา ตามมาด้วย เยอรมันนี ฝรั่งเศส สหราชอาณาจักร และแคนนาดา เป็นต้น

OctoPrint เป็นโอเพ่นซอร์สอินเทอร์เฟสเว็บสำหรับเครื่องพิมพ์ 3 มิติที่ช่วยให้ผู้ใช้งานสามารถติดตาม ควบคุมอุปกรณ์และงานที่ต้องการพิมพ์ได้ เช่น สามารถสั่ง เริ่ม หยุดและยกเลิกงานได้ นอกจากนี้ยังได้รองรับการใช้งานกล้องเว็บแคมที่ฝังอยู่กับอุปกรณ์ด้วย อย่างไรก็ตามปัญหาที่เกิดขึ้นคือผู้ใช้งานมีการตั้งค่าควบคุมการเข้าถึงได้ไม่ดีพอ ดังนั้นแฮ็กเกอร์อาจฉวยโอกาสเข้าถึงอุปกรณ์เหล่านี้ได้

ตัวอย่างของการโจมตีดีมีหลายรูปแบบ เช่น แฮ็กเกอร์อาจเข้าถึงไฟล์ G-code ซึ่งเก็บคำสั่งที่จำเป็นในการพิมพ์วัตถุ 3 มิติ ในกรณีขององค์กรอาจเสี่ยงต่อความลับทางการค้าได้ หรือ อัปโหลดไฟล์ G-code ที่สร้างขึ้นแบบพิเศษและใช้ให้อุปกรณ์พิมพ์ตอนที่ไม่มีใครอยู่ รวมถึงอาจเข้าแก้ไขโค้ดเดิมได้ นอกจากนี้ตัวเครื่องพิมพ์เองอาจก่อให้เกิดดหตุการณ์ไฟไหม้ได้เพราะแฮ็กเกอร์อาจสามารถสร้างอุณหภูมิสูงขณะกำลังใช้งานระบบ สุดท้ายยังสามารถสอดแนมกล้องเว็บแคมที่ฝังในอุปกรณ์ได้ด้วย

อย่างไรก็ตามนี่ไม่ได้เป็นช่องโหว่ของตัว OctoPrint แต่เป็นผลจากผู้ใช้ในการตั้งค่าเอง เนื่องจากนักพัฒนา OctoPrint ได้แนะนำให้ผู้ใช้ป้องกันแล้วโดยใจความของคำแนะนำในเอกสารคือ “ถ้าผู้ใช้ต้องการเข้าถึงผ่านอินเทอร์เน็ต ควรเปิด Access Control นอกจากนี้ไม่ควรให้ทุกคนสามารถเข้าถึงได้ผ่านอินเตอร์เน็ตแต่ใช้งานผ่าน VPN หรืออย่างน้อยมีการพิสูจน์ตัวตนผ่าน HTTP บนเลเยอร์เหนือ OctoPrint”