详细内容或原文请订阅后点击阅览
3D 打印机中存在木马? UltiMaker Cura 中的严重错误威胁着数百万用户
恶意 3MF 模型可能会在很长一段时间内未被检测到。
来源:安全实验室新闻频道3D 打印机中的木马? UltiMaker Cura 中的严重错误威胁着数百万用户
恶意 3MF 模型可能会在很长一段时间内未被检测到。
安全研究人员在流行的 3D 打印软件 UltiMaker Cura 中发现了一个漏洞。该问题是由 Checkmarx 发现的,他们在安全测试期间分析了源代码,作为其内部漏洞扫描程序的一部分。
检查马克思该安全漏洞报告为 CVE-2024-8374,涉及通过用于 3D 建模和打印的 3MF 文件格式执行任意代码的可能性。 Cura 是最流行的 3D 模型切片开源解决方案之一,事实证明在加载 3MF 文件时容易受到代码注入的攻击。
CVE-2024-8374,研究人员发现问题在于“convertSavitarNodeToUMNode”方法,在使用“eval”函数时没有对输入的数据进行验证。这使得攻击者可以向 3MF 文件注入任意命令,这些命令在加载到 Cura 时会自动执行,甚至无需启动切片过程。因此,修改后的模型在外观上可以保持完全合法,这使其成为攻击用户的理想工具。
专家指出,在供应链受到攻击的情况下,该漏洞尤其危险。恶意模型可以通过流行的 3D 模型数据库(例如 Printables 和 Thingiverse)或通过开源存储库进行分发,从而给国家安全和公共卫生部门带来风险。
UltiMaker 团队迅速响应问题,并在 24 小时内发布了修复程序。 2024 年 7 月 16 日发布的版本“5.8.0-beta.1”删除了“eval”调用,并使用严格的布尔分析实现了更安全的数据处理。