Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[gaaronk]

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

[krass]

16 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

"Ваше устройство уже вам не принадлежит".
А сколько применений маркетинговых этому есть, даже если отставить параноидальные опасения.

P.S. отвечая на ваш вопрос --скорей всего нет. А зачем?

Изменено 17 ноября, 2025 пользователем krass

[krass]

39 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

Изменено 17 ноября, 2025 пользователем krass

[and0r]

5 часов назад, krass сказал:

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

второй Анонс за год делать на тему безопасности - это они  постеснялись..  Лучше втихую,  "по-нашему"   из под куста  )))

А такое  отношение,  как к детям "снисходительно-покровительственное",  я наблюдаю во многих сферах деятельности на просторах  СНГ.   Если   обратился  за услугой , или купил товар  -   автоматически ты пользователь, который  не компетентен в вопросе, и  исполнителю (продавцу)   лучше знать , что  тебе нужно.. 

А право голоса ищущего,  заканчивается сразу после  внесения  денег "в Кассу"

Изменено 17 ноября, 2025 пользователем and0r

[C-M]

Уважаемые @keenet07 и @krass

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 
 

Изменено 17 ноября, 2025 пользователем C-M

[keenet07]

57 минут назад, C-M сказал:

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

[C-M]

8 hours ago, keenet07 said:

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

спасибо!

Ту статью посмотрел, но к сожалению даже в web.archive она изначально без ссылок. Возможно, что была по другому адресу.

В теме про диагностичесй модуль нашёл только ndss.keenetic.ndmsystems.com (а сейчас есть ещё ndss.keenetic.ndmsystems.ru).

Ну и из уже известного ndss.keenetic.com / ndss.keenetic.net / ndss.netcraze.ru

Буду признателен, если сможете что-то ещё подсказать. 

 

PS: ещё знаком с неувядающей классикой "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей" ... видимо такой большой список, что надо куда больше усилий, чем фильтровать регулярные release notes 🤣

Изменено 18 ноября, 2025 пользователем C-M

[krass]

https://habr.com/ru/news/967370/

 

Производитель роутеров Keenetic принудительно обновил все устройства из-за массовых взломов.

 

 

[keenet07]

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

• Реализован виртуальный сетевой интерфейс Dummy для задач маршрутизации, управляемых провайдером, а также для моделирования, тестирования и других целей. [NDM-3958]

 

Если это ставится и присутствует по умолчанию, то лучше бы чтоб была возможность удаления и отключения этих вещей.

Изменено 18 ноября, 2025 пользователем keenet07

[krass]

Только что, keenet07 сказал:

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

[hoaxisr]

1 час назад, krass сказал:

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

https://habr.com/ru/news/967370/

 

Комментариев от производителя традиционно не ожидается. Возможно через пару лет придумают какой-то пресс-релиз. 

[AlexHomeUser]

20 часов назад, White_Dragon сказал:

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

Поддерживаю. Если бы мне было пофиг, что производитель делает с моим девайсом, я бы купил ноунейм с Али за три копейки.

Когда выбирал устройство, подкупило наличие базы знаний, сообщества, продуманная прошивка и неплохая техподдержка. Не жалко было денег! Если бы знал про такие бэкдоры - купил бы что-то другое.

[Leoo]

Прилетело обновление на устройство с выключенным авто обновлением =))))))
Ultra (KN-1810)» с «4.3.6» до «4.3.6.3». Сложный пароль, вход извне закрыт.

Я не просил об этом.

[Vladr]

5 часов назад, AlexHomeUser сказал:

бы купил ноунейм с Али за три копейки.

О да! Там никаких бэкдоров конечно не будет, как и хоть каких-то вменяемых инстументов рулить роутером, кроме как самый самы минимум на уровне dir-300

[drugold]

А вот, что ASUS пишут:

[krass]

3 минуты назад, drugold сказал:

ASUS

На ASUS уже давно ставят форки от Merlin и Gnuton!!!
там есть решение.
Я думаю найдут управу и на кинетик/неткрейзик.

P.S. А вообще ,странный аргумент : " а вот они, а вот у них".
P.P.S. Когда ломанули микроты, они не стали всем обновлять прошивку, а максимально оповестили на различных ресурсах о проблеме.
Кинетики же считают своих пользователей за "идиотов" ( в лучшем случае).

Изменено 18 ноября, 2025 пользователем krass

[Vladr]

2 минуты назад, drugold сказал:

А вот, что ASUS пишут:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Вот что так явно не написали предупреждение, чтобы прикрыться от подобного негатива, да, косяк. Думаю, по Вашей подсказке поправят, чтобы не было в будущем подобного шума

[hoaxisr]

1 минуту назад, drugold сказал:

А вот, что ASUS пишут

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему, а потом провести уже закрытие дырок и у людей ничего бы не подгорело. Но как часто бывает - "нишмогла".

 

А уж у секты правоверных так вообще все отлично, им куколдизм помогает верить в непогрешимый гений производителя, который за столько лет не сподобился имя привилегированного пользователя научиться изменять. 

[Vladr]

2 минуты назад, krass сказал:

На ASUS уже давно ставят форки от Merlin и Gnuton!!!

а на другие ставят снапшоты кинетика. На них тоже управу ищут? Причем тут это?

[hoaxisr]

1 минуту назад, Vladr сказал:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

🤔

[keenet07]

А лучше сделать выбор между тремя режимами.

1. Автоматическое обновление включено

2. Только критически важные обновления (по умолчанию)

3. Автоматическое обновление отключено.

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Основная масса даже не зайдет в эту настройку и у них останется пункт 2.

А те кому нужно могут отключить принудительное обновление.

Изменено 18 ноября, 2025 пользователем keenet07

[Vladr]

2 минуты назад, hoaxisr сказал:

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему

и где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

[hoaxisr]

2 минуты назад, Vladr сказал:

 

 

 

Только что, Vladr сказал:

где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

[Илья Хрупалов]

1 час назад, hoaxisr сказал:

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

2 часа назад, hoaxisr сказал:

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

[krass]

28 минут назад, Илья Хрупалов сказал:

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

А Вы не находите , что это несколько поздновато: 18-11-2025 ? А ЧП случилось 14.11.2025 !
Имхо, надо было хотя бы за пару дней сделать анонс. А еще лучше за неделю-две.

Спойлер

 

 

Изменено 18 ноября, 2025 пользователем krass

[Кинетиковод]

9 минут назад, krass сказал:

А ЧП случилось

А что за ЧП случилось? Можете подробнее расписать? Есть пострадавшие? Вас с 2.16 принудительно на 4.3 перекинуло что ли? 

[FLK]

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

[hoaxisr]

36 минут назад, FLK сказал:

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

Ну лично мое мнение, что негоже без ведома пользователя ему что-то обновлять. Какими бы "благородными" мотивами это не было обусловлено.

А уж каналов коммуникации с нерадивыми пользователями более чем достаточно. 

И еще не сильно нравится, когда бренд и его представители ссылаются, что они коммуницировали, но не до, а после. И считают это достаточным. 

 

UPD: Выше был пример плашки около ползунка автообновления у конкурента, аналогичная плашка или информация под знаком вопросика в морде Кинетик сняла бы многие вопросы. Все бы прекрасно видели, что производитель считает пользователей неразумными детьми и будет действовать по своему разумению. А уж жить с этим или как-то "противодействовать" выбор пользователя, но явно буггурта на ровном месте было бы меньше. 

Изменено 18 ноября, 2025 пользователем hoaxisr

[slomblobov]

37 minutes ago, hoaxisr said:

почему нельзя изменить гвоздями прибитого admin?

Вот тут плюсану

[FLK]

2 минуты назад, slomblobov сказал:

Вот тут плюсану

Согласен, давно тоже хотел задать этот вопрос, но то забывал, то забивал)