Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[mesb]

Сам факт что владельцев ткнули носом что галка обновления на самом деле не влияет ниначто - удручает.

Что там ещё в таком режиме нас ждёт большой вопрос сразу возникает.

И ладно бы если заявили свои железки как облачную сосню, но тут-то зачем так поступать.

[bigpu]

8 часов назад, mesb сказал:

ткнули носом что галка обновления на самом деле не влияет ниначто

кейс любопытный, но где почитать за подобные погоны на плечи? 

[krass]

18 минут назад, bigpu сказал:

кейс любопытный, но где почитать за подобные погоны на плечи? 

https://t.me/Netcraze/1076907

https://t.me/Netcraze/1076893

В телеграме. Там несколько сообщений было...если их не удалили.

P.S. Вот что быстро нашлось....

Спойлер

Добрый день, подскажите, стояла версия прошивки 4.1.7 сейчас сам роутер обновился до версии 4.3.6.3. Автообновление отключено. Почему он сам обнову поставил?

Такая же история. Обновился сам до 4.3.6.3, хотя стоит запрет на авто обновление

 

 

Изменено 15 ноября, 2025 пользователем krass

[bigpu]

19 минут назад, krass сказал:

В телеграме. Там несколько сообщений было...если их не удалили.

Спасибо, глянул, возможно и удалили, но не увидел именно "ткнули носом что галка обновления на самом деле не влияет ниначто"

Хотите сказать, вместо извинений и объяснений, отморозились и только?

[krass]

22 минуты назад, bigpu сказал:

Спасибо, глянул, возможно и удалили, но не увидел именно "ткнули носом что галка обновления на самом деле не влияет ниначто"

Хотите сказать, вместо извинений и объяснений, отморозились и только?

Ух...у меня много сейчас мыслей вертится.
Но предлагаю дождаться ответа от разрабов здесь. А в телеграме я пролистал -- нету пояснений...лишь ссылка на  https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43

Вот если нас заигнорят...вот тогда ,думается, всем станет понятно...что и как.
 

[VadimS]

Я так понимаю, что кроме ответа выше мне в телеге больше ответа от компании не будет. Или это было сбоем (что тоже не радует совсем) или принудительное обновление остановили, поняв, что так делать всё-таки нельзя и скандал будет еще сильнее.

Доверия, конечно, больше нет.

[White_Dragon]

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

[gaaronk]

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

[krass]

16 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

"Ваше устройство уже вам не принадлежит".
А сколько применений маркетинговых этому есть, даже если отставить параноидальные опасения.

P.S. отвечая на ваш вопрос --скорей всего нет. А зачем?

Изменено 17 ноября, 2025 пользователем krass

[krass]

39 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

Изменено 17 ноября, 2025 пользователем krass

[and0r]

5 часов назад, krass сказал:

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

второй Анонс за год делать на тему безопасности - это они  постеснялись..  Лучше втихую,  "по-нашему"   из под куста  )))

А такое  отношение,  как к детям "снисходительно-покровительственное",  я наблюдаю во многих сферах деятельности на просторах  СНГ.   Если   обратился  за услугой , или купил товар  -   автоматически ты пользователь, который  не компетентен в вопросе, и  исполнителю (продавцу)   лучше знать , что  тебе нужно.. 

А право голоса ищущего,  заканчивается сразу после  внесения  денег "в Кассу"

Изменено 17 ноября, 2025 пользователем and0r

[C-M]

Уважаемые @keenet07 и @krass

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 
 

Изменено 17 ноября, 2025 пользователем C-M

[keenet07]

57 минут назад, C-M сказал:

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

[C-M]

8 hours ago, keenet07 said:

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

спасибо!

Ту статью посмотрел, но к сожалению даже в web.archive она изначально без ссылок. Возможно, что была по другому адресу.

В теме про диагностичесй модуль нашёл только ndss.keenetic.ndmsystems.com (а сейчас есть ещё ndss.keenetic.ndmsystems.ru).

Ну и из уже известного ndss.keenetic.com / ndss.keenetic.net / ndss.netcraze.ru

Буду признателен, если сможете что-то ещё подсказать. 

 

PS: ещё знаком с неувядающей классикой "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей" ... видимо такой большой список, что надо куда больше усилий, чем фильтровать регулярные release notes 🤣

Изменено 18 ноября, 2025 пользователем C-M

[krass]

https://habr.com/ru/news/967370/

 

Производитель роутеров Keenetic принудительно обновил все устройства из-за массовых взломов.

 

 

[keenet07]

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

• Реализован виртуальный сетевой интерфейс Dummy для задач маршрутизации, управляемых провайдером, а также для моделирования, тестирования и других целей. [NDM-3958]

 

Если это ставится и присутствует по умолчанию, то лучше бы чтоб была возможность удаления и отключения этих вещей.

Изменено 18 ноября, 2025 пользователем keenet07

[krass]

Только что, keenet07 сказал:

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

[hoaxisr]

1 час назад, krass сказал:

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

https://habr.com/ru/news/967370/

 

Комментариев от производителя традиционно не ожидается. Возможно через пару лет придумают какой-то пресс-релиз. 

[AlexHomeUser]

20 часов назад, White_Dragon сказал:

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

Поддерживаю. Если бы мне было пофиг, что производитель делает с моим девайсом, я бы купил ноунейм с Али за три копейки.

Когда выбирал устройство, подкупило наличие базы знаний, сообщества, продуманная прошивка и неплохая техподдержка. Не жалко было денег! Если бы знал про такие бэкдоры - купил бы что-то другое.

[Leoo]

Прилетело обновление на устройство с выключенным авто обновлением =))))))
Ultra (KN-1810)» с «4.3.6» до «4.3.6.3». Сложный пароль, вход извне закрыт.

Я не просил об этом.

[Vladr]

5 часов назад, AlexHomeUser сказал:

бы купил ноунейм с Али за три копейки.

О да! Там никаких бэкдоров конечно не будет, как и хоть каких-то вменяемых инстументов рулить роутером, кроме как самый самы минимум на уровне dir-300

[drugold]

А вот, что ASUS пишут:

[krass]

3 минуты назад, drugold сказал:

ASUS

На ASUS уже давно ставят форки от Merlin и Gnuton!!!
там есть решение.
Я думаю найдут управу и на кинетик/неткрейзик.

P.S. А вообще ,странный аргумент : " а вот они, а вот у них".
P.P.S. Когда ломанули микроты, они не стали всем обновлять прошивку, а максимально оповестили на различных ресурсах о проблеме.
Кинетики же считают своих пользователей за "идиотов" ( в лучшем случае).

Изменено 18 ноября, 2025 пользователем krass

[Vladr]

2 минуты назад, drugold сказал:

А вот, что ASUS пишут:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Вот что так явно не написали предупреждение, чтобы прикрыться от подобного негатива, да, косяк. Думаю, по Вашей подсказке поправят, чтобы не было в будущем подобного шума

[hoaxisr]

1 минуту назад, drugold сказал:

А вот, что ASUS пишут

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему, а потом провести уже закрытие дырок и у людей ничего бы не подгорело. Но как часто бывает - "нишмогла".

 

А уж у секты правоверных так вообще все отлично, им куколдизм помогает верить в непогрешимый гений производителя, который за столько лет не сподобился имя привилегированного пользователя научиться изменять. 

[Vladr]

2 минуты назад, krass сказал:

На ASUS уже давно ставят форки от Merlin и Gnuton!!!

а на другие ставят снапшоты кинетика. На них тоже управу ищут? Причем тут это?

[hoaxisr]

1 минуту назад, Vladr сказал:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

🤔

[keenet07]

А лучше сделать выбор между тремя режимами.

1. Автоматическое обновление включено

2. Только критически важные обновления (по умолчанию)

3. Автоматическое обновление отключено.

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Основная масса даже не зайдет в эту настройку и у них останется пункт 2.

А те кому нужно могут отключить принудительное обновление.

Изменено 18 ноября, 2025 пользователем keenet07

[Vladr]

2 минуты назад, hoaxisr сказал:

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему

и где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

[hoaxisr]

2 минуты назад, Vladr сказал:

 

 

 

Только что, Vladr сказал:

где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров