¿Troyano en una impresora 3D? Un error crítico en UltiMaker Cura amenaza a millones de usuarios
Los modelos maliciosos de 3MF pueden pasar desapercibidos durante mucho tiempo.
Los investigadores de seguridad han descubierto una vulnerabilidad en el popular software de impresión 3D UltiMaker Cura. El problema fue identificado por los especialistas de la empresa Checkmarx, quienes realizaron un análisis del código fuente durante las pruebas de seguridad como parte de su programa interno de búsqueda de vulnerabilidades.
La brecha de seguridad, registrada como CVE-2024-8374, está relacionada con la posibilidad de ejecutar código arbitrario a través del formato de archivo 3MF, utilizado para la modelación y la impresión 3D. Cura, una de las soluciones de código abierto más populares para el corte de modelos 3D, resultó ser vulnerable a la inyección de código al cargar archivos 3MF.
Los investigadores descubrieron que el problema radica en el método «convertSavitarNodeToUMNode», donde falta la validación de los datos ingresados al utilizar la función «eval». Esto permite a los atacantes insertar comandos arbitrarios en archivos 3MF, que se ejecutan automáticamente al cargarse en Cura, incluso sin iniciar el proceso de corte. De este modo, un modelo alterado puede parecer completamente legítimo, lo que lo convierte en una herramienta ideal para ataques a usuarios.
Los expertos señalaron que esta vulnerabilidad representa un peligro particular en el contexto de los ataques a la cadena de suministro. Los modelos maliciosos pueden propagarse a través de bases de datos populares de modelos 3D, como Printables y Thingiverse, o a través de repositorios de código abierto, creando riesgos para sectores relacionados con la seguridad nacional y la salud.
El equipo de UltiMaker respondió rápidamente al informe sobre el problema y lanzó una solución en menos de 24 horas. En la versión «5.8.0-beta.1», publicada el 16 de julio de 2024, se eliminó la llamada a «eval» y se implementó un manejo de datos más seguro mediante un análisis estricto de los valores lógicos.
Según los investigadores de Checkmarx, la colaboración con el equipo de UltiMaker se desarrolló a un alto nivel, lo que permitió resolver el problema a tiempo y prevenir su posible uso por parte de atacantes. La versión mejorada de Cura ya está disponible para todos los usuarios, y la empresa recomienda encarecidamente actualizarse a la versión estable «5.8.0», lanzada el 1 de agosto de 2024.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla