Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[keenet07]

13 минут назад, Илья Хрупалов сказал:

Кстати, тому, кто догадается, почему сообщение Keenetic последовало с явно запланированной задержкой, я обещаю приз от компании Netcraze.

Потому-что проблему нужно сначала устранить, а потом можно и отчитаться. Чтоб не предупредить злоумышленников, которые зная об этом заранее могли наломать дров.

Изменено 18 ноября, 2025 пользователем keenet07

[Илья Хрупалов]

10 минут назад, keenet07 сказал:

Чтоб не предупредить злоумышленников

Ну, бинго. Приятно, когда люди вдумываются и пытаются понять ситуацию без поспешных выводов. Спишемся в личке.

[Aleksman4o]

19 минут назад, Илья Хрупалов сказал:

Кстати, тому, кто догадается, почему сообщение Keenetic последовало с явно запланированной задержкой, я обещаю приз от компании Netcraze.

чтобы на взломанных роутерах пароль на более сложный не успели поменять? ))

[antialt]

2 минуты назад, Илья Хрупалов сказал:

Я бы еще обратил внимание, что ошибочно писать "всех", "принудительно обновил все устройства" (как в новости на Хабре, хотя, кстати, ссылка на стейтмент была уже там и ни у кого не возникло вопросов с ее открытием). Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3. Причем, насколько мне известно, алгоритм (весьма простой по сути) не проверяет открытый доступ и сложность пароля.

нестыковочка, обновляют и 4.3.6 > 4.3.6.3

https://t.me/Netcraze/1080313

Лично я не против обновлений. Но этот процесс должен быть интимным и контролируемым, особенно когда железка является "окном в мир". И где гарантия, что условная версия 5.x.x снова не принесёт каких-нибудь сюрпризов, и процесс "спасения" не начнётся по новой, в самый неожиданный момент?

Даже Windows даёт время на завершение рабочих процессов, не говоря уже о *nix-системах.

В общем, мировоззрение вы моё подпортили. А так хотелось переползти с Падавана на что-то ламповое, родное :)…

[Илья Хрупалов]

Только что, antialt сказал:

нестыковочка, обновляют и 4.3.6 > 4.3.6.3

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

[Илья Хрупалов]

7 минут назад, Aleksman4o сказал:

чтобы на взломанных роутерах пароль на более сложный не успели поменять? ))

тепло, но не бинго, потому что бинго случилось раньше, а кроме того, как мне объяснили, алгоритму обновления все равно, какой там пароль. но злоумышленники могут прикрыть захваченные устройства от обновления другими способами  

[krass]

Только что, Илья Хрупалов сказал:

тепло, но не бинго, потому что бинго случилось раньше, а кроме того, как мне объяснили, алгоритму обновления все равно, какой там пароль. но злоумышленники могут прикрыть захваченные устройства от обновления другими способами  

Пожалуйста, дайте подробности ( насколько это возможно, не нарушая NDA) .
Здесь : https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43  ну очень мало информации.

[Илья Хрупалов]

17 минут назад, antialt сказал:

Лично я не против обновлений. Но этот процесс должен быть интимным и контролируемым, особенно когда железка является "окном в мир". И где гарантия, что условная версия 5.x.x снова не принесёт каких-нибудь сюрпризов, и процесс "спасения" не начнётся по новой, в самый неожиданный момент?

Даже Windows даёт время на завершение рабочих процессов, не говоря уже о *nix-системах.

Мы в Netcraze, наблюдая за ситуацией, приняли это к сведению и уже запланировали проработать необходимые функции и политики. К слову, пример ASUS, на который было бы так удобно сослаться, тоже не идеальный с точки зрения западного рынка. Там есть разные чуть ли не противоречащие друг другу директивы, и кругом будет виноват производитель. Посмотрим на итоговый опыт Keenetic, постараемся выбрать лучшее для Netcraze. 

[Илья Хрупалов]

2 минуты назад, krass сказал:

ну очень мало информации

Я не могу давать информацию за Keenetic. Напишите им, но уверен, что там каждое слово выверено. Довольно четко, мне кажется, изложено в статье уважаемого @dartraiden на Хабре.

[Илья Хрупалов]

1 час назад, antialt сказал:

А так хотелось переползти с Падавана на что-то ламповое, родное

И Падаван здесь, и ламповое, и родное встречается, переползайте. У вас же вроде уже в профиле NC-1812 🙂. Можете делать бэкапы, это удобно и никто не запрещает.

[Илья Хрупалов]

В 14.11.2025 в 23:38, antialt сказал:

А в свете всяких списков

Разработчики, кстати, наоборот так старались в 5-й версии. Присмотритесь.

[Илья Хрупалов]

Кстати, увидел на Хабре замечательную реплику:

[Илья Хрупалов]

17 минут назад, helljumper2 сказал:

две ультры сегодня обновились с 4.6.2 до 4.6.3

Я постараюсь узнать у кого следует, как такое могло произойти.

[MDP]

8 часов назад, FLK сказал:

Согласен, давно тоже хотел задать этот вопрос, но то забывал, то забивал)

Я этот вопрос в 2016 кажись задавал)))) 

[MDP]

2 часа назад, Илья Хрупалов сказал:

Я постараюсь узнать у кого следует, как такое могло произойти.

Арховные модели Ultra II kn-1610 подлежат обновлению...раз уж есть уязвимость?

Изменено 19 ноября, 2025 пользователем MDP

[helljumper2]

3 минуты назад, MDP сказал:

Арховные модели Ultra II kn-1610 подлежат обновлению...раз уж есть уязвимость

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля. 

[MDP]

1 час назад, helljumper2 сказал:

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля. 

Ага...почитал про обнову на хабре...это не уязвимость вовсе. Я бы на месте разработчиков ничего бы не выпускал...это как производитель дверей, ходит по домам ночами и закрывает двери на ключ, вдруг хозяева забыли запереть))) 

Изменено 19 ноября, 2025 пользователем MDP

[helljumper2]

2 часа назад, Илья Хрупалов сказал:

Я постараюсь узнать у кого следует, как такое могло произойти.

Хорошо. С 4.3.6.2 до 4.3.6.3 конечно же. Kn-1810 и kn-1811. Настройка автоапдейт выключена, канал обновлений - основной.

[C-M]

7 hours ago, Илья Хрупалов said:

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

например, на днях обновился Peak (KN-2710), 4.3.6.1 -> 4.3.6.3, который был с сильными паролями, с отключенными обновлениями, но с подключением к cloud. Другие коробки, которые были без подключения к cloud не обновились.

 

Жаль конечно. Была надежда и толика доверия к Кинетику, что доступ к роутеру закрыт паролем в app'ке и для Cloud/KeenDNS инфраструктура Кинетика работает только тунелем, без управляющего доступа. Оказалось что нет. Пришлось отрезать самостоятельно.

[C-M]

6 hours ago, Илья Хрупалов said:

Разработчики, кстати, наоборот так старались в 5-й версии. Присмотритесь.

к работе разработчиков претензий нет - на качестве их работы и основывалась упомянутая ранее "толика доверия".

Но принудительное обновлении говорит о проблемах не связанных с разработчиками:

- наличие управляющего механизма, который был заложен заранее, без явных упоминаний - да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было.

- наличие менеджмента, который считает, что его мнение самое правое, при чём не один раз. Потому как сначала принято решение:
(a) заложить такую фичу (3.х же не обновился) 
(b) никому про это не сказать явно - а это в 90% значит, что там не только обновление накатить можно
(с) сделать такую фичу неотключаемой ... хотя это скорее следствие (b), а не отдельное решение
(d) применить эту фичу, при чём не у тех кому надо, а скорее у тех у кого смогли.

И я всё ещё уважаю то, что делают разработчики Кинетика. Но с такими привычками у менеджмента Кинетика мне лично не по пути. Жаль, с Кинетиком было удобно.

Изменено 19 ноября, 2025 пользователем C-M

[KeyYerS]

10 часов назад, Илья Хрупалов сказал:

...Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3....

1213. Вчера в 18.46 (+5GMT) с 4.3.6.2 САМОобновление до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

1211. Вчера в 19.35 (+5GMT) САМОобновление с 4.1.7 до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

Изменено 19 ноября, 2025 пользователем KeyYerS
орфо

[KeyYerS]

9 часов назад, Илья Хрупалов сказал:

...К слову, пример ASUS, на который было бы так удобно сослаться....

К слову, раз уж на то пошло, производители видеорегистраторов/камер на платформе XM полностью исключили с 2023 года использование служебки "admin" - нет более неубиваемого встроенного админа от вендора, что юзер создал - тем и пользуется... 

[MDP]

По правильному надо делать вход от обычной УЗ...а потом уже вход только в привилегированный режим.

Естественно УЗ с высокими привилегиями исключить вход по сети.

Изменено 19 ноября, 2025 пользователем MDP

[Shidla]

10 часов назад, Илья Хрупалов сказал:

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

Аналогичная ситуация с KN-3811. Сегодня в ночь самостоятельно обновился с версии 4.3.6 до актуальной релизной, не смотря на то, что переключатель автообновления был выключен.
Пароль - 16 символов (буквы, цифры)

Если нужны сервисные данные - пожалуйста, напишите об этом - вышлю (вечером по МСК)

Изменено 19 ноября, 2025 пользователем Shidla
Дополнение про пароль

[Slackwarist]

12 часов назад, keenet07 сказал:

А если поменяет, то на vanya:12345

Но этот ваня все равно будет разный, а это уже профит - злоумнышленнику будет в разы сложнее с первого тычка что-то подобрать.

[Илья Хрупалов]

6 часов назад, C-M сказал:

наличие управляющего механизма, который был заложен заранее, без явных упоминаний - да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Принудительное обновление никак не использует этот механизм.

[C-M]

51 minutes ago, Илья Хрупалов said:

Принудительное обновление никак не использует этот механизм.

Понятно, спасибо за информацию.

Но это же и куда более печально, что даже не упомянули о добавлении механизма управления устройством без ведома владельца😢

[Илья Хрупалов]

59 минут назад, C-M сказал:

даже не упомянули о добавлении механизма управления устройством без ведома владельца

8 часов назад, C-M сказал:

да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Вот никаких включений ее в массовые устройства и нет до сих пор, она включается только в проектных устройствах.

[Илья Хрупалов]

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

[Илья Хрупалов]

1 час назад, C-M сказал:

Через какой-то же механизм 4.* обновляется в обход мнения владельца устройства?
И очень похоже, что в 3.* этого механизма нет.

Он точно такой же, я не хочу повторять чужие слова, и официального описания тоже не будет по причинам той же безопасности, но многие комментаторы за последние дни совершенно верно трактовали, как работает механизм обновления прошивки, просто в данном исключительном случае он осознанно игнорирует запрет (но может не пройти по другим причинам: недостаточно места, нет более свежей прошивки в природе и тп).
Всё, что вы говорите с точки зрения админа, -- принято и доведено как реакция и пожелание до тех, кто принимал это решение, и тех, кто уже занимается разработкой бизнес-линейки Netcraze, чтобы ни в коем случае такое не повторить.