Новости Троян в 3D-принтере? Критический баг в UltiMaker Cura угрожает миллионам пользователей

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
Вредоносные 3MF-модели могут долгое время оставаться незамеченными.


xgcegebjdbdd6tqf9881aj09gi479vj4.jpg


Исследователи безопасности обнаружили уязвимость в популярном ПО для 3D-печати UltiMaker Cura. Проблема Для просмотра ссылки Войди или Зарегистрируйся специалистами компании Checkmarx , которые провели анализ исходного кода во время тестирования безопасности в рамках своей внутренней программы по поиску уязвимостей.

Недостаток безопасности, зарегистрированный как Для просмотра ссылки Войди или Зарегистрируйся связан с возможностью выполнения произвольного кода через файловый формат 3MF, используемый для 3D-моделирования и печати. Cura, одно из самых популярных open-source решений для нарезки 3D-моделей, оказалось уязвимым к инъекции кода при загрузке 3MF файлов.

Исследователи выяснили, что проблема кроется в методе «convertSavitarNodeToUMNode», где отсутствует проверка введённых данных при использовании функции «eval». Это позволяет злоумышленникам внедрять произвольные команды в 3MF файлы, которые автоматически выполняются при их загрузке в Cura, даже без начала процесса нарезки. Таким образом, изменённая модель с виду может оставаться полностью легитимной, что делает её идеальным инструментом для атак на пользователей.

Эксперты отметили, что данная уязвимость представляет особую опасность в контексте атак на цепочки поставок. Вредоносные модели могут распространяться через популярные базы данных 3D-моделей, такие как Printables и Thingiverse, или через Open Source репозитории, что создаёт риски для секторов, связанных с национальной безопасностью и здравоохранением.

Команда UltiMaker оперативно отреагировала на сообщение о проблеме и выпустила исправление в течение суток. В версии «5.8.0-beta.1», вышедшей 16 июля 2024 года, был исключён вызов «eval» и реализована более безопасная обработка данных с использованием строгого анализа логических значений.

По словам исследователей из Checkmarx, взаимодействие с командой UltiMaker прошло на высоком уровне, что позволило своевременно устранить проблему и предотвратить её возможное использование злоумышленниками. Улучшенная версия Cura теперь доступна всем пользователям, и компания настоятельно рекомендует обновиться до стабильной версии «5.8.0», вышедшей 1 августа 2024 года.
 
Источник новости
www.securitylab.ru

Похожие темы