Názory k článku
Závažné zranitelnosti tiskáren Brother, Fujifilm, Toshiba a Konica Minolta

No, vzhledem k tomu, že defaultni heslo je často admin, 1234... a pod, tak to na takovou tragédii nevidím.

Tady ne, tady je to SN + salt z tabulky a na to SHA256 + další kroky

Což je naprosto stejné jako jednoduché heslo, když uteče jak se to heslo vytváří. Tohle mi přijde od těch výrobců strašně naivní co jako čekali? Už by měli za tohle nést zodpovědnost.

Však to je jen defaultní admin heslo, takové to, které po zapnutí si každý změní za nějaké svoje.
Holt rozkaz ten zněl jasně, každý kus musí mít jiné, ono se tam toho zase moc vymyslet nedá, buď stejně hrozí, že to uteče (ať už seedy, nebo databáze do který stejně musí vidět celej jejich helpdesk), nebo je to peklo supportovat.

Pro výrobce by bylo nejjednodušší, kdyby tiskárna s defaultním heslem netiskla a vyzývala ke změně.

28. 6. 2025, 07:54 editováno autorem komentáře

Však to je jen defaultní admin heslo, takové to, které po zapnutí si každý změní za nějaké svoje.

Máš priveľkú vieru v užívateľov. Koľko BFU vôbec tuší, že tam ide nejaké heslo nastaviť?

Presne tak. Jestli je to algoritmus mas jistotu ze se dostanes do toho pristroje I ty.
Kdyz se generuje nahodile pak resis jeho ukladani, pristupova prava, zalohy a modlis se aby to nekde nekleklo protoze pak ztratis pristup ke vsem zarizenim.

"zase moc vymyslet nedá"

Vis jak to dopadne, kdyz nekdo vymejsli? Zcela vlastni zkusenost ... dodavatel ti doda v tomhle pripade 20 krabic. Ty pak po nem chces nejaky to heslo ... nacez se zjisti, ze kazda krabice ma unikatni ... vytisteny na tech obalech hozenych do popelnice ...

V tomhle konkretnim pripade se na to prislo pomerne rychle, ale zkus si predstavit, jak to budes do defaultu resetovat po par letech ...

99% useru tiskaren na nich zadny heslo mit nastaveny ani nechce. A desitky tisic tiskaren je lusknutim prstu k nalezeni uplne verejne na siti.

To rozhodne neni, pokud seriove cislo nejde zjistit vzdalene - pak je potreba to zkouset a pokud by to po zadani 3 spatnych hesel dalo jeden den timeout, tak prolomeni bude v radu let. Dost casu si toho utoku vsimnout a to heslo zmenit.

Ako to budeš detekovať, keď z jednej ip ti prídu len dva, alebo dokonca iba jeden pokus?

Jojo, lidi bezne sleduji logy... :)
Tak, a ted jeste tu O Cerveny Karkulce.

"zadani 3 spatnych hesel dalo jeden den timeout"

Jo, tohle jsou dzenielni napady dzenielenich lildi ... DOSnout to je pak otazka 1us.

Problem neni v naivite pristupu ke generovani (myslim ze odvozena hesla jsou lepsi, nez zcela randomizovana bez moznosti obnovy), ale toho ze:

jak 1) algoritmus a tak 2) tajne klice / salty - NESMI byt na zarizeni ulozeny (ani ve forme kodu). Ma tam byt ulozen jenom vysledek hashovani. Proste stejna idiocie jako kdyz mate na disku vedle sebe soukromy a verejny klic.. nebo klic+iv+algo.

Klidne at support odvozuje hesla po dodani nakupniho dokladu + sn v ojedinelych pripadech, ale nesmi pustit algoritmus ven.

Treba u Supermicro IPMI maji taky random hesla - doposud nevim zda jsou odvozena nebo jen vyplnena nahodnymi daty (tento novej bmc fw jsem nezkoumal jeste) - ale kdyz jste root, tak mate pristup k IPMI skrze interni kanal a lze krome factory resetu primo i konfigurovat user/pass - takze ztrata hesla se da prekonat jednim bootnutim live distra, nebo sudo prikazem.

Proč? Jediný význam tohodle celého nesmyslu je plošné páchání dobra (co kdyby si to někdo nezměnil - tak radší vymyslíme megavopičárnu pro všechny) ať to stojí co to stojí.

Však třeba F5 má initial admin/admin a root/default, a taky s tím žijou.

Tak třeba u Canonu je pro všechny stroje heslo stejné, ale při instalaci nebo po resetu hesla tě to nepustí dál bez jeho změny.

Takze kdyz si ten kram koupis a zapojis kabel, tak nefunguje = 99% useru ho obratem vrati jako nefunkcni. A nebo funguje = 99% useru se zadnyn nastavovanim hesla nebude obtezovat.

Je to výžně takový problém? Tiskárna má být v lokální síti (do netu ji asi nikdo nevystrkuje). Lokální síť má být plus mínus zabezpečená. Pokud mám větší firmu/korporát, tak tyhle věci mají být ve vlastní VLAN a provoz tam má být filtrován - tzn na webserver tiskárny se nemá kdo ze zaměstnanců dostat, případně vše jde přes tiskový server a na tiskárnu lokálně nikdo nekomunikuje.
V malé firmě kde je v jednom kanclu tiskárna a 10lidí je nějaké zabezpečení tiskárny už úplně k ničemu a běžně tam je admin/1234
Zase se dělá z komára velbloud...

Uvažujete jen korporáty? Co domácí uživatelé?
Co IPv6? Co výrobci s jejich aktualizacemi?

Nemůžete vědět jak je kde nastavená síť a co komunikuje tiskárna s výrobcem, kde už políčil někdo jiný.

Domaci pouziti IPv6 opravdu neimplikuje, ze na domacim routeru nema byt (a neni) firewall. Zrovnatak plati, ze NAT na IPv4 neni firewall, zeano :-)

Router jako router. Nevidím rozdíl ve verzi protokolů, prostě, co má zůstat v LAN, musí zůstat v LAN. To není úkol pro tiskárnu, co ostatní "spotřebiče"? Ti nemusí?

Jenže pokud to zneužijete k DDOSu, tak je stále banální problém?

... https://www.shodan.io/search?query=brother+printer