Вредоносные 3MF-модели могут долгое время оставаться незамеченными.
Исследователи безопасности обнаружили уязвимость в популярном ПО для 3D-печати UltiMaker Cura. Проблема была выявлена специалистами компании Checkmarx, которые провели анализ исходного кода во время тестирования безопасности в рамках своей внутренней программы по поиску уязвимостей.
Недостаток безопасности, зарегистрированный как CVE-2024-8374, связан с возможностью выполнения произвольного кода через файловый формат 3MF, используемый для 3D-моделирования и печати. Cura, одно из самых популярных open-source решений для нарезки 3D-моделей, оказалось уязвимым к инъекции кода при загрузке 3MF файлов.
Исследователи выяснили, что проблема кроется в методе «convertSavitarNodeToUMNode», где отсутствует проверка введённых данных при использовании функции «eval». Это позволяет злоумышленникам внедрять произвольные команды в 3MF файлы, которые автоматически выполняются при их загрузке в Cura, даже без начала процесса нарезки. Таким образом, изменённая модель с виду может оставаться полностью легитимной, что делает её идеальным инструментом для атак на пользователей.
Эксперты отметили, что данная уязвимость представляет особую опасность в контексте атак на цепочки поставок. Вредоносные модели могут распространяться через популярные базы данных 3D-моделей, такие как Printables и Thingiverse, или через Open Source репозитории, что создаёт риски для секторов, связанных с национальной безопасностью и здравоохранением.
Команда UltiMaker оперативно отреагировала на сообщение о проблеме и выпустила исправление в течение суток. В версии «5.8.0-beta.1», вышедшей 16 июля 2024 года, был исключён вызов «eval» и реализована более безопасная обработка данных с использованием строгого анализа логических значений.
По словам исследователей из Checkmarx, взаимодействие с командой UltiMaker прошло на высоком уровне, что позволило своевременно устранить проблему и предотвратить её возможное использование злоумышленниками. Улучшенная версия Cura теперь доступна всем пользователям, и компания настоятельно рекомендует обновиться до стабильной версии «5.8.0», вышедшей 1 августа 2024 года.
От классики до авангарда — наука во всех жанрах