Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[krass]

31 минуту назад, Илья Хрупалов сказал:

Нисколько не извиняя крайность решения Keenetic, вот, кстати, что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

Вдруг не у всех откроется: сжатый отчет в пдф.

Спойлер

fix STRIKE_Asus_WrtHug-Report_V6.pdf

 

[AndyU]

7 hours ago, Joyn Silver said:

В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.

Так у какого-то их партнера уже утекали какие-то данные (2023?), но тогда ограничились рекомендацией поменять пароли, если не меняли после утечки. 

[Илья Хрупалов]

24 минуты назад, AndyU сказал:

уже утекали

Там не было никакого злонамеренного взлома, просто исследователи сканером нашли. Через подобных исследователей устраняется довольно много уязвимостей, это скорее даже рутинная работа. Почему и как в итоге вытекли результаты -- отдельная тема.

[krass]

Теперь взялись за длинки:

https://xakep.ru/2025/11/21/dir-878/

https://cybersecuritynews.com/d-link-eol-eos-router-vulnerabilities/

 

Компания D-Link сообщила, что не будет выпускать обновления безопасности для устаревших DIR-878 и рекомендует владельцам заменить уязвимые роутеры.  // "гениальное" решение от компании длинк.

[bigpu]

Мне непонятно другое немного, почитывая сей тред на 7-ми страницах, в наличии было:

- "Функция защиты от перебора паролей для доступа к интернет-центру"

-  2-3 года минимум, с момента диалога за пришитое гвоздями имя пользователя "admin" и ответ, что и так сойдет 

А по итогу что? Замах на 1000, а удар на рубль - обновление, с выключенным обновлением.

Лично мне интересна не вся эта демагогия и редкое робкое "простите", а как будет изменяться под текущие реалии и будет ли, механизм "Функция защиты от перебора паролей для доступа к интернет-центру" и до коле будет фигурировать пользователь "admin" в прошивке?

...рыба воняет с головы😉

 

[KeyYerS]

8 часов назад, Илья Хрупалов сказал:

...что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/...

Все 11 страниц сводятся к двум "вещам":   TLS и SSH.   Разве проблема изначально административно в прошивке запрещать доступ извне (не в лок-сетке) по этим "лазейкам"?

TLS (как я понял) генерится "на лету" серверами компании. Простому юзеру даже не видно ни его даты, ни подписи, ни контро-суммы (или как оно там обзывается). Роутер "поздоровался" с сервером - да и обновил себе сертификат...  Я же полагаю, что в прошивке не так просто сменить адрес, куда "стучаться"?

Может я (как и многие владельцы) не использую эти самые эсэсаши и прочие "плюшки", как более сведущие пользователи продукции компании, поскольку мне достаточно вебки или приложения для элементарных операций.

Да простят меня гуру Линукса и прочего...   Зачем /это цензурно и мягко говоря/ в роутерах эти "псевдо-бонусы" типа эсэссаша, коими могут пользоваться только единицы/десятки пользователей из (вероятно) уже нескольких миллионов владельцев?

Покурил на досуге селфы/логи одного из своих "административно-принудительно обновлённых" - там обнаружил:
а) провал в двое суток в журнале, б) видимо специальный тестовый бан на 15 минут двух айпишников.

Спойлер

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Спойлер

[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:29 ndm: Http::Manager: updated configuration.
[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:30 ndhcps: NDM DHCP Server, v3.2.57.
[I] Nov 21 04:34:30 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:30 ndm: Core::Session: client disconnected.
[I] Nov 21 04:35:30 ndm: Netfilter::Util::Conntrack: flushed 184 IPv4 connections for 167.99.182.39.
[I] Nov 21 04:35:30 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 167.99.182.39 for 15 minutes.
[I] Nov 21 04:35:31 ndm: Netfilter::Util::Conntrack: flushed 188 IPv4 connections for 206.81.12.187.
[I] Nov 21 04:35:31 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 206.81.12.187 for 15 minutes.
[I] Nov 21 04:50:30 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 167.99.182.39.
[I] Nov 21 04:50:31 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 206.81.12.187.

Тапками прошу не кидаться... 🙄

[keenet07]

2 часа назад, KeyYerS сказал:

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Это вполне нормальная ситуация. Не провал, а процесс загрузки устройства.

До вот этого момента:

Цитата

[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.

роутер просто не знает текущую дату и время. Потому-что откуда? В нем нет внутренних часов с батарейкой.

А лог загрузки устройства то до момента синхронизации с часами в интернете писать нужно.

Вот он и берет последнюю известную дату и время которой располагает, либо со дня обновления прошивки, либо с даты её выпуска или ещё откуда-то и с неё начинает отсчет. Ну а потом, как получает верные дату и время переключается на них, что и видно в вашем логе. 

Наверное можно было скорректировать время и дату в начале лога уже после получения реального времени путем сдвига. Не знаю почему так не сделали. Видимо чтоб оставалась четкая последовательность в логе.

Изменено 21 ноября, 2025 пользователем keenet07

[keenet07]

6 минут назад, KeyYerS сказал:

Как бэ....   "А хде Вы были с восьми до одинадцати?" ©   Типа в лог он свою активность за сутки 19-20.11 и вторые 20-21.11 вообще ничего не фиксировал? Я извинялся ранее, не спец в "тонкостях", но думаю что так не бывает... 
"Это ж-ж-ж-ж-ж-ж неспроста..." ©  
Время "адм-принуд обновы" = 21.11.2025_04:32:41 ** запущен, 21.11.2025_04:32:54 ** ОС обновилась...

Писал. Только всё это пропало, когда вы роутер в Nov 21 04:32 перезагрузили, ну либо он сам у вас там перезагрузился после обновления, не суть. Вместо 19.11.2025 там могла быть и более ранняя дата. Не считайте этот период. Вы ведь знаете что лог только в оперативной памяти устройства храниться?

Изменено 21 ноября, 2025 пользователем keenet07

[keenet07]

8 минут назад, KeyYerS сказал:

Оригинальный однако механизм был задействован...  Одновременно с "адм-принуд обновой" принудительная зачистка предыдущего сектора лога (не дай бог что-то просочится наружу через лог роутера).

Ничего такого. Перезагрузите роутер и снова увидите разрыв во времени до момента синхронизации времени по интернету. Вы просто никогда не обращали на это внимания. А оно всегда так работает.

Не стоит концентрироваться на поисках какого-то заговора, в противном случае он будет видеться вам повсюду.

Изменено 21 ноября, 2025 пользователем keenet07

[KeyYerS]

12 минут назад, keenet07 сказал:

снова увидите разрыв во времени до момента синхронизации

Роутер перезапускается за минуту-две.  Провал в двое с лишним суток и в логе и в селф-тесте ровно на этом месте, хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?
Это не паранойя, просто внимательность к мелочам, что многие упускают...🤨

[keenet07]

24 минуты назад, KeyYerS сказал:

хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?

Там четкая последовательность. Начинает с 1 янв, 00:00 часов. Пока загружается основная ОС. Потом в какой-то момент загрузки выставляет часовой пояс Россия/Москва, это UTC +3. Время меняется на 03:00. Потом догружается до стадии когда может где-то в системе увидеть дату прошивки или ещё что-то что он использует для этого. Меняет системную дату на эту. Потом видит вашу настройку часового пояса из конфига. Меняет часовой пояс на ваш. Снова время меняется если вы не в Московском часовом поясе. Интернета к этому моменту ещё нет. И уже только после того как загружается вся сеть и появляется интернет на устройстве, он синхронизируется с сервером времени в соответствии с вашим часовым поясом. Всё. Дальше актуальную дату и время использует.

Изменено 21 ноября, 2025 пользователем keenet07

[Joyn Silver]

Я уж тут писал немного раньше. Хочу предложить предложение )). Проставьте пожалуйста хэши прошивок официальных. Объясню зачем лично мне это нужно. Вдруг кто-то сменит прошивку удаленно. Тогда я смогу выгрузить свою прошивку, прочитать ее хэш, и сравнить этот хэш с официальной. И если все ок, тогда и вопросов не будет. Так многие делают. Как мне кажется это норм. А то "седня" вы обновили, а завтра не известно кто.

[ZloyAdmin]

У меня примерно 20 роутеров, везде отключено автоматическое обновление, у меня ничего принудительно не обновилось.

Не знаю, может помогло то, что я создаю отдельного пользователя с правами только админа, а встроенному отключаю доступ на Web, встроенному генерю колбасу 25-30 символов и "забываю". И под каждый сервис/источник подключения к роутеру отдельный пользователь.

А может до меня не дошел ход)

П. С. Кстати проверка пароля на компрометацию в 4.3.6.3 применяется только ко встроенному админу или ко всем пользователям?

[dmitry.a]

Тут говорят про ssh, но как бы мне узнать ssh host server key fingerprint? А то это первое, что спросит ssh клиент. 

А ещё по ключам нет доступа. Хотя  ключи тоже не 100% защищающий вариант. Но уж сильно лучше паролей для данного кейса.

Да и вебку бы натравить на localhost, а доступ по ssh иметь через проброс порта.

[Denis P]

7 минут назад, dmitry.a сказал:

но как бы мне узнать ssh host server key fingerprint?

Внезапно

show ssh fingerprint

33 минуты назад, KeyYerS сказал:

моё предложение внимание ни у кого не привлекло?

а почему оно должно кого-то привлечь? tls ключи и сертификаты хранятся на роутере (при наличии entware можно даже на них краем глаза посмотреть), ssh из коробки отсутствует и без белого адреса по нему напрямую не зайти

[dmitry.a]

53 минуты назад, Denis P сказал:

show ssh fingerprint

Только не говорите, что надо зайти по ssh для вызова этой команды или по telnet...

[Denis P]

46 минут назад, dmitry.a сказал:

Только не говорите, что надо зайти по ssh для вызова этой команды или по telnet...

абсолютно ничего не мешает это посмотреть через webcli

[Dmitry93]

Товарищи из Necraze/Keenetic, согласно вашему же посту https://blog.keenetic.ru/pre-keeneticos-43-update/ "Последняя версия KeeneticOS 4.3 (на данный момент точный индекс 4.3.6.3) требует более надежных паролей и блокирует публичный веб-доступ, если установлен известный скомпрометированный пароль" - после обновления 4.3.6.3 роутер должен блокировать установленный известный скомпрометированный пароль.
А вы вообще уверены в том что это дейтсвительно так и в том что вы не солгали про истиные цели этого обновления вопреки желания владельцев.
Модель: Air (KN-1613) EAEU
Пароль admin1234
md5sum password: c93ccd78b2076528346216b3b2f701e6
Если вбить в гугл password c93ccd78b2076528346216b3b2f701e6 то на первой же страничке мы увидим пароль "admin1234".
Ну и что вы можете сказать ? так для чего же было обновление ? 

[keenet07]

9 часов назад, Dmitry93 сказал:

Если вбить в гугл password c93ccd78b2076528346216b3b2f701e6 то на первой же страничке мы увидим пароль "admin1234".

Да, наверное желательно требовать, как минимум смешанный регистр. А лучше ещё и наличие одного из спец символов ~ ! ? @ # $ % ^ & * _ - + ( ) [ ] { } > < / \ | " ' . , : ;

admin1234 не выглядит надежным при подборе по словарю. Но тут видимо расчет на то что есть защита на количество попыток ввода пароля. И слишком большой словарь отнимет слишком много времени и ресурсов. Но такой пароль, как выше, можно и чисто на шару случайно ручками подобрать.

Изменено 23 ноября, 2025 пользователем keenet07

[Lehar]

На 4.3.6.3 пароль admin123 ещё не разрешает, а admin1234 уже разрешает.

Если требования к сложности повысить, юзеры будут вопить о сложности запоминания. Но они будут вопить в любом случае, всем не угодишь.

[keenet07]

4 минуты назад, Lehar сказал:

Если требования к сложности повысить, юзеры будут вопить о сложности запоминания. Но они будут вопить в любом случае, всем не угодишь.

Ничего. Пусть лучше запишут на бумажку или сохранят в браузере.

Почтовый ящик в интернете нигде с таким паролем не создашь. Везде требования как я выше описал. На текущий момент это единственный реально действующий метод защиты от простого пароля.

Изменено 23 ноября, 2025 пользователем keenet07

[AndyU]

8 hours ago, Lehar said:

На 4.3.6.3 пароль admin123 ещё не разрешает, а admin1234 уже разрешает

Что, ждем вторую волну автообновлений прошивки?

[AndyU]

8 hours ago, keenet07 said:

admin1234 не выглядит надежным при подборе по словарю. Но тут видимо расчет на то что есть защита на количество попыток ввода пароля.

А она есть?

[Denis P]

25 минут назад, AndyU сказал:

А она есть?

с добрым утром
https://support.keenetic.ru/ultra/kn-1811/ru/22351.html

[krass]

В 20.11.2025 в 14:13, leshin papa сказал:

Ответ пришел. Сказали "спасибо" за то, что я расписал свою конфигурацию, а в сухом остатке "проблемы индейцев шерифа не волнуют", даже если у этого индейца 350+ роутеров. 

Про тему автоматического обновления роутеров, в которых оно запрещено - отмолчались. 

Ну а чего, я считаю это прям офигительное отношение! Об использрвании кинетиков или неткрэйзов не в дома  - можно забыть или забить. 

напишите, пожалуйста, помог ли вам Илья Хрупалов?
Есть ли какие-либо положительные сдвиги?
 

P.S. На 4пда данный сотрудник успешно помогал пользователям роутеров кинетика с решением их различных проблем.

[AndyU]

3 minutes ago, Denis P said:

с добрым утром
https://support.keenetic.ru/ultra/kn-1811/ru/22351.html

Спасибо, просто я всегда первым делом доступ извне к web-консоли отключаю. И дело даже не в подборе паролей, а в теоретической возможности наличии уязвимости в WWW-сервере роутера. SSH - по паролю, да прямо в админ.аккаунт (а куда - sudo не завезли ведь?) - тоже нафиг.

[Denis P]

6 минут назад, AndyU сказал:

Спасибо, просто я всегда первым делом доступ извне к web-консоли отключаю

так он ведь и не включен из коробки, или вы про полное отключение веба?

[AndyU]

Just now, Denis P said:

так он ведь и не включен из коробки, или вы про полное отключение веба?

Я последний раз настраивал Keenetic 3 года назад. Или проверял, что все лишнее отключено. Не помню уже. А полное отключение - ну никак, когда на две страны живешь. И, кстати, я не пробовал, но ведь проверка новых прошивок даже так не отключится? 

[UdjinS]

Весь мозг сломал почему тунель накрылся неожиданно на ровном месте, на РКН грешил, еще удивлялся вроде не обновлял а прошивка свежая, а теперь неделя танцев с бубном вокруг кинетика и ни фига нормально не работает, пойду микротики куплю и выкину кинетики все в помойку.

Изменено 24 ноября, 2025 пользователем UdjinS

[Lehar]

Цитата

Русскоязычный «серый» хакер взламывает маршрутизаторы MikroTik и обновляет устройства, чтобы ими не могли воспользоваться криптоджекеры, операторы ботнетов или другие киберпреступники, как стало известно ZDNet.

Хакер, который представляется Алексеем и говорит, что работает администратором серверов, утверждает, что уже обезвредил более 100 000 маршрутизаторов MikroTik.

- 2018

Цитата

Эксперты по безопасности предупредили, что сотни тысяч маршрутизаторов, произведённых латвийским производителем сетевого оборудования MikroTik, уязвимы из-за критической ошибки, которая может позволить злоумышленникам удалённо управлять этими устройствами.

Джейкоб Бейнс вчера в своём блоге объяснил, что злоумышленники, использующие удалённый доступ и аутентификацию, могут использовать CVE-2023-30799 для получения root-доступа на маршрутизаторах MikroTik RouterOS.

- 2023

Удачи.

Забавно это: A меня расстроили, уйду в B; B меня расстроили, уйду в C; C меня расстроили, уйду в A.

Притом что организаций ограниченное количество и косяки есть у всех, поддерживается этот странный круговорот недовольных юзеров между банками, сотовыми операторами, маркетплейсами....