Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Илья Хрупалов]

В 14.11.2025 в 23:38, antialt сказал:

А в свете всяких списков

Разработчики, кстати, наоборот так старались в 5-й версии. Присмотритесь.

[Илья Хрупалов]

Кстати, увидел на Хабре замечательную реплику:

[helljumper2]

Правильным решением будет срочно добавить в настройку обновлений пункт «авто установка критически важных обновлений безопасности», который позволил бы отключить это сомнительное поведение тем кто имеет причины на ручной апдейт строго.

У меня две ультры сегодня обновились с 4.6.2 до 4.6.3 , при выключенном автообновлении. Был неприятный сюрприз и неожиданные два обрыва связи в неподходящее время. Осадочек так себе конечно.. Усугубляет еще отсутствие уведомлений и официальных коммуникаций, то что втихую всё сделано. Ведь про про переход на netcraze например рассылки же были.

В моей модели угроз например, риск эксплуатации уязвимости при определенных настройках и условиях - стоит ниже чем риск скомпрометированной прошивки в источниках обновлений. Таких примеров хватает на моей памяти.

[Илья Хрупалов]

17 минут назад, helljumper2 сказал:

две ультры сегодня обновились с 4.6.2 до 4.6.3

Я постараюсь узнать у кого следует, как такое могло произойти.

[MDP]

8 часов назад, FLK сказал:

Согласен, давно тоже хотел задать этот вопрос, но то забывал, то забивал)

Я этот вопрос в 2016 кажись задавал)))) 

[MDP]

2 часа назад, Илья Хрупалов сказал:

Я постараюсь узнать у кого следует, как такое могло произойти.

Арховные модели Ultra II kn-1610 подлежат обновлению...раз уж есть уязвимость?

Изменено 19 ноября пользователем MDP

[helljumper2]

3 минуты назад, MDP сказал:

Арховные модели Ultra II kn-1610 подлежат обновлению...раз уж есть уязвимость

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля. 

[MDP]

1 час назад, helljumper2 сказал:

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля. 

Ага...почитал про обнову на хабре...это не уязвимость вовсе. Я бы на месте разработчиков ничего бы не выпускал...это как производитель дверей, ходит по домам ночами и закрывает двери на ключ, вдруг хозяева забыли запереть))) 

Изменено 19 ноября пользователем MDP

[helljumper2]

2 часа назад, Илья Хрупалов сказал:

Я постараюсь узнать у кого следует, как такое могло произойти.

Хорошо. С 4.3.6.2 до 4.3.6.3 конечно же. Kn-1810 и kn-1811. Настройка автоапдейт выключена, канал обновлений - основной.

[C-M]

7 hours ago, Илья Хрупалов said:

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

например, на днях обновился Peak (KN-2710), 4.3.6.1 -> 4.3.6.3, который был с сильными паролями, с отключенными обновлениями, но с подключением к cloud. Другие коробки, которые были без подключения к cloud не обновились.

 

Жаль конечно. Была надежда и толика доверия к Кинетику, что доступ к роутеру закрыт паролем в app'ке и для Cloud/KeenDNS инфраструктура Кинетика работает только тунелем, без управляющего доступа. Оказалось что нет. Пришлось отрезать самостоятельно.

[C-M]

6 hours ago, Илья Хрупалов said:

Разработчики, кстати, наоборот так старались в 5-й версии. Присмотритесь.

к работе разработчиков претензий нет - на качестве их работы и основывалась упомянутая ранее "толика доверия".

Но принудительное обновлении говорит о проблемах не связанных с разработчиками:

- наличие управляющего механизма, который был заложен заранее, без явных упоминаний - да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было.

- наличие менеджмента, который считает, что его мнение самое правое, при чём не один раз. Потому как сначала принято решение:
(a) заложить такую фичу (3.х же не обновился) 
(b) никому про это не сказать явно - а это в 90% значит, что там не только обновление накатить можно
(с) сделать такую фичу неотключаемой ... хотя это скорее следствие (b), а не отдельное решение
(d) применить эту фичу, при чём не у тех кому надо, а скорее у тех у кого смогли.

И я всё ещё уважаю то, что делают разработчики Кинетика. Но с такими привычками у менеджмента Кинетика мне лично не по пути. Жаль, с Кинетиком было удобно.

Изменено 19 ноября пользователем C-M

[KeyYerS]

10 часов назад, Илья Хрупалов сказал:

...Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3....

1213. Вчера в 18.46 (+5GMT) с 4.3.6.2 САМОобновление до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

1211. Вчера в 19.35 (+5GMT) САМОобновление с 4.1.7 до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

Изменено 19 ноября пользователем KeyYerS
орфо

[KeyYerS]

9 часов назад, Илья Хрупалов сказал:

...К слову, пример ASUS, на который было бы так удобно сослаться....

К слову, раз уж на то пошло, производители видеорегистраторов/камер на платформе XM полностью исключили с 2023 года использование служебки "admin" - нет более неубиваемого встроенного админа от вендора, что юзер создал - тем и пользуется... 

[MDP]

По правильному надо делать вход от обычной УЗ...а потом уже вход только в привилегированный режим.

Естественно УЗ с высокими привилегиями исключить вход по сети.

Изменено 19 ноября пользователем MDP

[Shidla]

10 часов назад, Илья Хрупалов сказал:

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

Аналогичная ситуация с KN-3811. Сегодня в ночь самостоятельно обновился с версии 4.3.6 до актуальной релизной, не смотря на то, что переключатель автообновления был выключен.
Пароль - 16 символов (буквы, цифры)

Если нужны сервисные данные - пожалуйста, напишите об этом - вышлю (вечером по МСК)

Изменено 19 ноября пользователем Shidla
Дополнение про пароль

[Slackwarist]

12 часов назад, keenet07 сказал:

А если поменяет, то на vanya:12345

Но этот ваня все равно будет разный, а это уже профит - злоумнышленнику будет в разы сложнее с первого тычка что-то подобрать.

[Илья Хрупалов]

6 часов назад, C-M сказал:

наличие управляющего механизма, который был заложен заранее, без явных упоминаний - да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Принудительное обновление никак не использует этот механизм.

[C-M]

51 minutes ago, Илья Хрупалов said:

Принудительное обновление никак не использует этот механизм.

Понятно, спасибо за информацию.

Но это же и куда более печально, что даже не упомянули о добавлении механизма управления устройством без ведома владельца😢

[Илья Хрупалов]

59 минут назад, C-M сказал:

даже не упомянули о добавлении механизма управления устройством без ведома владельца

8 часов назад, C-M сказал:

да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Вот никаких включений ее в массовые устройства и нет до сих пор, она включается только в проектных устройствах.

[Илья Хрупалов]

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

[C-M]

54 minutes ago, Илья Хрупалов said:

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

Да ну как бы вреда устройству не было, и не сказать что тут есть повод для извинений за само обновление. Тут другая проблема.


Через какой-то же механизм 4.* обновляется в обход мнения владельца устройства?
И очень похоже, что в 3.* этого механизма нет.

Однако и в истории изменений такой фичи нет.

Что приводт к вопросу "а почему это скрыли", и нормальный админ, как профессиональный параноик, начинает думать о всяком нехорошем. И сложно что-то с собой поделать - работа такая.

Да, такой вектор атаки (что у устройства есть backdoor от производителя) и ранее предполагался, но благодаря репутации разработчиков, рассматривался как хоть и опасный, но крайне маловероятный.

Теперь же случилось подтверждение, что этот риск реализован. А это значит, что его уже нельзя игнорировать, надо закрывать реализованный риск.

Но и тут опять включается непонятная политика "сокрытия" - нет полноценной информации, куда подключается роутер - какие внешние соединения, к каким адресам и с какими конкретными возможностями. Статья на сайте есть, но для этих целей уровень деталей в ней недостаточный.

На явные запросы полноценных ответов тоже нет, максимум что было получено "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей". Хотя там список то на 10 позиций максимум, его вряд ли сложно собрать и обновить. Это уже идёт как "противодействие".

Т.е. в итоге мы имеет - не только реализованный риск, но ещё и пару каноничных "красных флагов".

И выходит, что у админа выбор не велик - или скрыть инцидент, или закрывать его, либо внешними средствами либо сменой оборудования.

К чему тут извинения? Просто гемор, просто работа. Просто не ожидал

Изменено 19 ноября пользователем C-M

[Илья Хрупалов]

1 час назад, C-M сказал:

Через какой-то же механизм 4.* обновляется в обход мнения владельца устройства?
И очень похоже, что в 3.* этого механизма нет.

Он точно такой же, я не хочу повторять чужие слова, и официального описания тоже не будет по причинам той же безопасности, но многие комментаторы за последние дни совершенно верно трактовали, как работает механизм обновления прошивки, просто в данном исключительном случае он осознанно игнорирует запрет (но может не пройти по другим причинам: недостаточно места, нет более свежей прошивки в природе и тп).
Всё, что вы говорите с точки зрения админа, -- принято и доведено как реакция и пожелание до тех, кто принимал это решение, и тех, кто уже занимается разработкой бизнес-линейки Netcraze, чтобы ни в коем случае такое не повторить.

[F2QYQ]

34 минуты назад, Илья Хрупалов сказал:

механизм обновления прошивки

34 минуты назад, Илья Хрупалов сказал:

игнорирует запрет

Такой механизм не нужен, как и вся "машина" в которой на педали жмёт чужой дядя.

[MDP]

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

[bigpu]

12 минут назад, MDP сказал:

Не надо было вообще ничего предпринимать 

Дурная голова ногам покоя не даёт

[Denis P]

22 минуты назад, MDP сказал:

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

вы же не знаете масштаба "трагедии"
сомневаюсь что компания пошла на это только потому, что им больше нечем заняться

[F2QYQ]

19 минут назад, Denis P сказал:

вы же не знаете масштаба "трагедии"

Теперь знаем - кнопка отключения автообновления фейковая.

[AndyU]

20 hours ago, Илья Хрупалов said:

Марка Netcraze ко всему этому никакого отношения не имеет, потому что изначально выходила на прошивках не ниже 4.3.

Ой ли? Хотелось бы напомнить, что все роутеры Keenetic с регионом EAEU были переведены на российское облако просто сменой IP у ea.master.keenetic.cloud. Раньше это была Hetzner, как и у eu.master.keenetic.cloud, нынче Selectel (СПб). Мобильное приложение Keenetic для таких роутеров работать перестало, владельцам пришлось переходить на Netcraze. И анонсировало все это именно фирма Netcraze. IP eu.master.keenetic.cloud в РФ нынче заблокирован. Т.е. недокументированные команды на обновление для роутеров с регионом EAEU идут именно из РФ.

Также уже есть случаи обновления с прошивки 4.3.6.1. Именно с EAEU. У меня EU/4.3.6.2. Наблюдаю.

[AndyU]

21 hours ago, Илья Хрупалов said:

наверное, потому, что он не бэкдор, но это уже отдельная осенняя тема

Эээ, а удаленное изменение региона роутера с EAEU на EU тех.поддержкой роутера весной это что было? Собщил CID'ы, тех.поддержка сказала, что все поменяно, перезагрузите роутеры. Я ожидал, что пришлют спец.прошивку, потом придется все перенастраивать с нуля... И о терминологии - наличие недокументированных команд, с помощью которых производитель может воздействовать на пользовательское устройство, и называется вендорским backdoor'ом.

[VVS]

1 час назад, MDP сказал:

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

А почему Вы считаете, что из ничего?

Может быть фирма решила, что дешевле "рассердить" несколько сотен пользователей типа тех, кто тут возмущается, чем потом оправдываться перед всем миром за ботнет из нескольких десятков тысяч устройств?