Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Илья Хрупалов]

6 часов назад, erig сказал:

Если бы роутер кирпичнулся(свет погас, кабель дёргнули) - вы бы мне новый выслали?

Свет погас и кабель совершенно точно не страшны любому кинетику/неткрейзу, потому что для обновления используется двойная флэш-память. Даже если бы что-то необратимо сбойнуло -- выслали ли бы новый. Такое нечасто (и не от обновлений), но бывает.
По поводу простоев и трудодней всё прописано в юридических документах, и не из-за автоматических обновлений.

 

5 часов назад, cool сказал:

Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

Механизм автоматических обновлений существует давным-давно, для этого не нужен никакой бэкдор или сверхновые прошивки. Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

[Denys]

1 minute ago, Илья Хрупалов said:

Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

А с какой целью никто так и не ответил

Случайно или срочное критическое обновление беопасности?

[Илья Хрупалов]

3 часа назад, keenet07 сказал:

Другими словами, предусмотреть возможность правильного сохранения этой настройки в конфиг только при условии зажатия какой-нибудь физической кнопки на устройстве в момент сохранения. Нет зажатия, настройка сохраняется не корректно и не работает.

👏 Вы срываете очередное бинго. Мы как раз вчера с коллегами уже обсуждали подобные идеи. Пока продолжаем их собирать.

[krass]

Только что, Илья Хрупалов сказал:

Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

А можно тогда реализовать такой режим как device-mode ? ( как это сделано к примеру у М -- он требует при настройке физического нажатия кнопки https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode)

Пожалуйста, дайте хоть какую-нибудь возможность запретить автообновление при любых случаях!

[Илья Хрупалов]

7 минут назад, Denys сказал:

Случайно или срочное критическое обновление беопасности?

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43

[Илья Хрупалов]

11 минут назад, krass сказал:

А можно тогда реализовать такой режим как device-mode ? ( как это сделано к примеру у М -- он требует при настройке физического нажатия кнопки https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode)

Пожалуйста, дайте хоть какую-нибудь возможность запретить автообновление при любых случаях!

Да, уже думаем в том числе и над этим.

[AndyU]

8 hours ago, mva113 said:

было принято не простое решение задействовать экстренный механизм. Ни каких других скрытых возможностей Он не несёт кроме как дать команду на обновление.

Я уже спрашивал и ответа не получил. Ладно, еще раз спрошу. Как тогда весной тех.поддержка меняла удаленно регионы устройств по просьбам владельцев роутеров? Сообщил CID, потом дал роутеру доступ в интернет, перезагрузил роутер, регион новый. 

[leshin papa]

15 hours ago, Илья Хрупалов said:

@leshin papa, думаю, вам лучше незамедлительно обратиться в поддержку Keenetic, где постараются разобраться и помочь (мне можете скинуть номер обращения, я попрошу изучить вашу ситуацию в максимальном приоритете). В общем и целом у большинства роутеры просто обновились, пароль при этом не меняется.

Ответ пришел. Сказали "спасибо" за то, что я расписал свою конфигурацию, а в сухом остатке "проблемы индейцев шерифа не волнуют", даже если у этого индейца 350+ роутеров. 

Про тему автоматического обновления роутеров, в которых оно запрещено - отмолчались. 

Ну а чего, я считаю это прям офигительное отношение! Об использрвании кинетиков или неткрэйзов не в дома  - можно забыть или забить. 

[Илья Хрупалов]

11 минут назад, AndyU сказал:

ответа не получил

Я технического ответа не знаю, но неприятно удивлен, что производитель, оказывается, тогда зря пошел навстречу пользователям, разделенным географией. Надо было не сюсюкаться, а взять ваши аргументы и сразу отшить всех без разбору кто где оказался.

[drugold]

5 часов назад, VVS сказал:

А кто-нибудь гарантирует, что у других производителей любого "компьютерного" оборудования нет подобного?

Давно практикуется: https://bulochnikov.livejournal.com/1755480.html

[AndyU]

1 minute ago, Илья Хрупалов said:

Я технического ответа не знаю, но неприятно удивлен, что компания, оказывается, тогда зря пошла навстречу пользователям, разделенным географией. Надо было не сюсюкаться, а взять ваш аргументы и сразу отшить всех без разбору кто где оказался.

Если бы это было сделано по техническим причинам, типа, извините - это прошито в ПЗУ, ну никак, я бы отключил доступ в облако (поверив, что действительно отключил), привез из Европы роутер с правильным регионом, а старый или продал, или оставил, как backup. Сообщая СID, я ожидал, что мне или пришлют спец.прошивку, или команду, которая отработала бы только на роутере с данным CID, но никак не команды просто перезагрузить роутер.

И обсуждаемую проблему создала сама фирма Netcraze, уведомив всех владельцев роутеров Keenetic, что немецкое облако в РФ перестанет работать (что было и осталось враньем) и поэтому она насильно переносит их в РФ облако. Дать возможность добровольно перейти - да. Сообщить, что новые роутеры, ввозимые в РФ под ее маркой, будут работать только с РФ облаком - да. А так, как было сделано - нет, но не будем углубляться в причины "выбора" такого варианта.

 

[krass]

1 час назад, Илья Хрупалов сказал:

Да, уже думаем в том числе и над этим.

Спасибо! ( почему-то не могу теперь поставить реакцию или лимит или... не знаю что)

Жду скорейшего решения. Оповестите нас здесь , пожалуйста, когда вам станет известно о механизме/способе отключения forceupdate. 

[Илья Хрупалов]

2 часа назад, leshin papa сказал:

не волнуют

Я очень сожалею по вашему конкретному кейсу, и волнуют. Не закрывайте обращение.

[VecH]

Не починили нормальное обновление по воздуху с прошивки 4.1.7 до любой свежей

После обновления постоянная потеря пакетов (каждый 10-11 пакет стабильно теряется), что сводит на нет любые онлайн звонки

 

Я специально откатился на 4.1.7, где все работает стабильно и меня устраивает на роутерах Keenetic Runner 4G (у меня их больше 4 штук, установлены у родственников в деревнях)

Автообновления выключены, а теперь обнаруживаю что они самообновились

Мне теперь почти 3 тысячи км. лететь обратно что бы все это менять на оборудование другого производителя (а лучше на openwrt, благо сейчас есть выбор)

Я понимаю что эта проблема решается накатыванием свежей прошивки и настройкой с нуля (без восстановления ранее сохранённой конфигурации), но летать по несколько тысяч км. накладно

 

100% меняю производителя.

Это что за самодеятельность, с кинетиком никакого бэкдора бояться не надо, оно само по себе уже дырявое

Изменено 20 ноября пользователем VecH

[keenet07]

https://blog.keenetic.ru/pre-keeneticos-43-update/

[AndyU]

23 hours ago, VVS said:

Может быть фирма решила, что дешевле "рассердить" несколько сотен пользователей типа тех, кто тут возмущается

Статью https://habr.com/ru/news/967370/ за 3 дня прочитали уже 9 000 человек...

[VVS]

14 минут назад, AndyU сказал:

Статью https://habr.com/ru/news/967370/ за 3 дня прочитали уже 9 000 человек...

Ну и что?

И я прочитал, и коллегам на работе ссылку кинул для общего развития (у них тоже Кинетики).

[AndyU]

12 minutes ago, VVS said:

Ну и что?

И я прочитал, и коллегам на работе ссылку кинул для общего развития (у них тоже Кинетики).

Что потенциально рассерженных пользователей как бы не на 2 порядка больше оценки из вашего предыдущего сообщения.

[VVS]

10 минут назад, AndyU сказал:

Что потенциально рассерженных пользователей как бы не на 2 порядка больше оценки из вашего предыдущего сообщения.

И я и мои коллеги статью прочитали, но ни в коей мере не являемся рассерженными пользователями...

[AndyU]

1 hour ago, VVS said:

И я и мои коллеги статью прочитали, но ни в коей мере не являемся рассерженными пользователями...

Профессионалы? Приняли к сведению? Или согласны с "политикой партии и правительства"?

P.S. Меня тоже информация из той статьи не рассердила. Ковбой просто сказал - "два".

[AndyU]

On 11/19/2025 at 10:25 PM, Кинетиковод said:

Главное пострадавшие от обновления до сих пор не объявились.

См. например: https://4pda.to/forum/index.php?showtopic=1095524&view=findpost&p=140309271

Quote

На kn-3910 есть проблема с неработающим портом wan на прошивке 4.3.6.3 Сам с этим столкнулся и по отзывам на маркетплейсах, не я один. На прошивках 4.3.2 и 5.0.0 всё отлично работает на kn-3910.

 

[Joyn Silver]

Добавлю и свои 5 копеек по поводу случившегося. Два года назад у асуса была похожая проблема. Поэтому когда стал выбор купить новый роутер, решил купить кенетик. Видимо ошибся с выбором. Сейчас опять встает выбор, в другом месте и это не будет ни асус ни кенетик. Уточню что в важном для меня месте автобновление не произошло. Но в одном из офисов обновился, без последствий. Теперь по существу. Сказать что меня настораживает такое поведение вендора - ничего не сказать. И самое важное что бы я мог пожелать производителю, уберите эту возможность раз и на всегда. Иначе то что может случится, обязательно случиться. А случится может вот что. В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.

[VVS]

8 часов назад, AndyU сказал:

Профессионалы? Приняли к сведению? Или согласны с "политикой партии и правительства"?

Профессионалы, имеющие некоторое отношение к компьютерной безопасности.

И смотрим на это дело даже с некоторой толикой зависти, что вот мол у некоторых хоть иногда есть инструмент, чтобы заставить юзеров соблюдать эту самую компьютерную безопасность.

Не, если спросить официально, то, скорее всего, осудим и заклеймим, но в душе IMHO думаем, что вот так оно и нужно.

[Илья Хрупалов]

Нисколько не извиняя крайность решения Keenetic, вот, кстати, что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

[krass]

31 минуту назад, Илья Хрупалов сказал:

Нисколько не извиняя крайность решения Keenetic, вот, кстати, что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

Вдруг не у всех откроется: сжатый отчет в пдф.

Спойлер

fix STRIKE_Asus_WrtHug-Report_V6.pdf

 

[AndyU]

7 hours ago, Joyn Silver said:

В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.

Так у какого-то их партнера уже утекали какие-то данные (2023?), но тогда ограничились рекомендацией поменять пароли, если не меняли после утечки. 

[Илья Хрупалов]

24 минуты назад, AndyU сказал:

уже утекали

Там не было никакого злонамеренного взлома, просто исследователи сканером нашли. Через подобных исследователей устраняется довольно много уязвимостей, это скорее даже рутинная работа. Почему и как в итоге вытекли результаты -- отдельная тема.

[krass]

Теперь взялись за длинки:

https://xakep.ru/2025/11/21/dir-878/

https://cybersecuritynews.com/d-link-eol-eos-router-vulnerabilities/

 

Компания D-Link сообщила, что не будет выпускать обновления безопасности для устаревших DIR-878 и рекомендует владельцам заменить уязвимые роутеры.  // "гениальное" решение от компании длинк.

[bigpu]

Мне непонятно другое немного, почитывая сей тред на 7-ми страницах, в наличии было:

- "Функция защиты от перебора паролей для доступа к интернет-центру"

-  2-3 года минимум, с момента диалога за пришитое гвоздями имя пользователя "admin" и ответ, что и так сойдет 

А по итогу что? Замах на 1000, а удар на рубль - обновление, с выключенным обновлением.

Лично мне интересна не вся эта демагогия и редкое робкое "простите", а как будет изменяться под текущие реалии и будет ли, механизм "Функция защиты от перебора паролей для доступа к интернет-центру" и до коле будет фигурировать пользователь "admin" в прошивке?

...рыба воняет с головы😉

 

[KeyYerS]

8 часов назад, Илья Хрупалов сказал:

...что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/...

Все 11 страниц сводятся к двум "вещам":   TLS и SSH.   Разве проблема изначально административно в прошивке запрещать доступ извне (не в лок-сетке) по этим "лазейкам"?

TLS (как я понял) генерится "на лету" серверами компании. Простому юзеру даже не видно ни его даты, ни подписи, ни контро-суммы (или как оно там обзывается). Роутер "поздоровался" с сервером - да и обновил себе сертификат...  Я же полагаю, что в прошивке не так просто сменить адрес, куда "стучаться"?

Может я (как и многие владельцы) не использую эти самые эсэсаши и прочие "плюшки", как более сведущие пользователи продукции компании, поскольку мне достаточно вебки или приложения для элементарных операций.

Да простят меня гуру Линукса и прочего...   Зачем /это цензурно и мягко говоря/ в роутерах эти "псевдо-бонусы" типа эсэссаша, коими могут пользоваться только единицы/десятки пользователей из (вероятно) уже нескольких миллионов владельцев?

Покурил на досуге селфы/логи одного из своих "административно-принудительно обновлённых" - там обнаружил:
а) провал в двое суток в журнале, б) видимо специальный тестовый бан на 15 минут двух айпишников.

Спойлер

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Спойлер

[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:29 ndm: Http::Manager: updated configuration.
[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:30 ndhcps: NDM DHCP Server, v3.2.57.
[I] Nov 21 04:34:30 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:30 ndm: Core::Session: client disconnected.
[I] Nov 21 04:35:30 ndm: Netfilter::Util::Conntrack: flushed 184 IPv4 connections for 167.99.182.39.
[I] Nov 21 04:35:30 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 167.99.182.39 for 15 minutes.
[I] Nov 21 04:35:31 ndm: Netfilter::Util::Conntrack: flushed 188 IPv4 connections for 206.81.12.187.
[I] Nov 21 04:35:31 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 206.81.12.187 for 15 minutes.
[I] Nov 21 04:50:30 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 167.99.182.39.
[I] Nov 21 04:50:31 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 206.81.12.187.

Тапками прошу не кидаться... 🙄