Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Валерий-Т]

9 часов назад, KeyYerS сказал:

Чтобы понять суть написанного нужно взглянуть на проблему "глазами автора", а не отмахиваться как от мухи.

Поясню:   я в целом никак не против обновлений, понимаю что нужны, важны и всё такое.  Но в силу 32-летнего стажа с IT сферой следую "золотому правилу":  нужно дать приличное время устаканиться очередному обновлению, чтобы были выявлены и исправлены сопутствующие ошибки/недочёты.  А уж потом по финишу его на рабочее оборудование ставить и пользовать.  Заплатка-на-заплатку-на-заплатку-на-патч-на-обновление  -  это перебор!

Согласен!
Добавлю и свои "пять копеек":
Работает - не трожь!
Тронул - разгребай!
Обновления - зло. Причины:
1) Расслабляет разработчиков.
2) Нарушает работу SW/HW.
3) Приносит новые дыры.
4) Позволяет разработчикам творить беспредел.

ИМХО:
Обновляю все крайне редко.
Только по весьма веским причинам.
Только после тщательного изучения последствий.

[krass]

Может лучше поможем кинетику и напишем способы?

Вариант как сделано у компании Микротик уже есть выше.
 

это может ускорить процесс.

[Master2009]

В 19.11.2025 в 22:43, leshin papa сказал:

Вместо admin другой пользователь, с паролем в 20-25 случайных символов. Блокировка от подбора пароля включена. Обычно я меняю пароль у admin с простого, на достаточно хороший, но иногда забываю. Да и как бы не особо важно это. В роутер с admin не попасть. Теперь, где я забыл сменить простой пароль у admin, потерял доступ к роутерам. Роутеры в 1500-2000 км от меня. Роутеров 300+ штук. Пользователи роутеров не особо компьютерно грамотные. Ноутов и компов может не быть.

Ужас, сочувствую вашей ситуации.

В 19.11.2025 в 23:19, leshin papa сказал:

"А техподдержка вообще странная. Если по телефону не смог помочь сотрудник, например, напрячься ему не хочется, то чтобы ему не поставили плохую оценку он попрощается, но звонок не завершит и так будет сидеть минут 10-15. Ждать пока я обломаюсь и сам положу трубку. Лишь бы 1 в качестве оценки не поставили. Раза три такое встречал точно."

Звонил очень редко и вроде раньше такого не попадалось. На такое надо запоминать говорившего, время звонка и писать уже email по случаю, чтобы удвоили оценку отдельно.

Изменено 5 часов назад пользователем Master2009
Дополнил сообщение.

[keenet07]

10 минут назад, krass сказал:

Может лучше поможем кинетику и напишем способы?

Вариант как сделано у компании Микротик уже есть выше.
 

это может ускорить процесс.

Думаю, что там давно уже всё почитали, плюс своё что-то обдумали. И вероятно уже даже реализовали.

Я жду уже в ближайшее время что-то в новой прошивке. Вот только не известно что вперед выйдет, какая-нибудь 4.x или это только в 5.x появится. Я пятерку жду.

Изменено 5 часов назад пользователем keenet07

[Mukcep]

Лично у меня обновилось с 3-й версии при выключенном автообновлении. Так что эта возможность есть во всех прошивках.
На моем устройстве это уже второй раз, когда обновление произошло без моего ведома при выключенном автообновлении. 
В прошлый раз поддержка все отрицала.
Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

[keenet07]

8 минут назад, Mukcep сказал:

Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

Если у вас конфиг старый сохранен, то всё у вас останется. Вы ведь полный сброс устройства делать не собираетесь. В общем-то даже если и нет, то и текущим конфигом в большой долей вероятности ничего не пострадает при откате.

Изменено 5 часов назад пользователем keenet07

[Mukcep]

13 минут назад, keenet07 сказал:

Если у вас конфиг старый сохранен

А где его взять? Это вот лютый головняк на ровном месте.
Я думал, что это недоразумение было в прошлый раз. Никаких бэкапов не делал никогда.

Изменено 5 часов назад пользователем Mukcep

[krass]

А есть случаи с keenos 2.11 и 2.16 ?
Есть пострадавшие?

Или под прицелом только  keenos 3.x и 4.x ?

Изменено 4 часа назад пользователем krass

[keenet07]

50 минут назад, Mukcep сказал:

А где его взять? Это вот лютый головняк на ровном месте.
Я думал, что это недоразумение было в прошлый раз. Никаких бэкапов не делал никогда.

Если нет бэкапов, то значит нет. Но и переходить на старую прошивку смысла практически никакого. В доступе только базовые версии прошивок с неполным набором компонентов. Сейчас на новой у вас что-то не работает?

Изменено 4 часа назад пользователем keenet07

[AndyU]

5 hours ago, keenet07 said:

Весь инструментал доступен на самом устройстве, просто подумайте и сделайте.

Я, кстати, беглым поиском в указанной вами теми, того, что еще нужно, не нашел. Или плохо искал, или потерли, как в документации. В прошивке (*.bin) тоже ничего не вижу. Но можно попробовать есть по кускам. Есть еще способ, опубликованный на github'е, но мне что-то стремно на рабочей железке экспериментировать. Или можно просто на траффик посмотреть штатными средствами роутера. 

[Валерий-Т]

Посмотрел:
https://support.keenetic.ru/ultra/kn-1810/ru/6463-latest-main-release.html
KeeneticOS 4.3.6.3
Датирована: 21/10/2025
В описании не слова про короткий пароль.
Есть только:
----==== Фрагмент начало: ====----
Исправления
Исправлена ошибка, из-за которой в приложении 
Сервер SMB неправильно копировались файлы
с именованными потоками. [SYS-1450]
----==== Фрагмент конец: ====----

Проблемы начались: 18/11/2025
https://forum.keenetic.ru/topic/25511-сломался-opkg-при-обновлении-на-новую-версию/
Основная причина: короткий пароль админа.
Хотя первоначально, этой причины небыло!
Обновление сработало игнорируя настройки 
запрещающие автоматическое обновление.

Хронология событий:
Повторно выходит обновление: 4.3.6.3, 
под предлогом защиты от коротких паролей.
После обновления: 4.3.6.3 пакет OPKG 
ломается даже при правильном пароле админа.

Напрашиваются выводы:
Keenetic - некто сделал предложение,
от которого ну невозможно отказаться.
Keenetic - "прогнулся" под это предложение,
и срочно выкатил "подкованную" прощшивку
с троянским конем: блокировка OPKG.

ИМХО, откат прошивки - это не решение.
Точнее, это временное решение. Причины:
установили обновление вопреки настройкам,
установят еще, и будут ставить постоянно.

ИМХО, надежные решения: 
1) Залить в роутер стороннюю прошивку.
2) Заменить роутер на комп и linux.
 

 

[Илья Хрупалов]

14 минут назад, Валерий-Т сказал:

В описании не слова про короткий пароль.

Вы же правильную ссылку выше приводите. Ну так прочтите всю страницу.

 

16 минут назад, Валерий-Т сказал:

Keenetic - "прогнулся" под это предложение,
и срочно выкатил "подкованную" прощшивку
с троянским конем: блокировка OPKG.

#$%^&*(*_*_&$ Надеюсь, другие объективные пользователи укажут вам на несостоятельность этой головокружительной гипотезы. 

[Joyn Silver]

Всем привет! Я тут немного шумел на форуме, возможно не по делу, но то что я писал, тоже важно. А теперь по делу. Заявленная критическая уязвимость CWE-521, ради которой нас тут всех принудительно обновили, предполагает что пользователь может создать любой пароль в интерфейсе и интерфейс это никак не контролирует (ну или слабо контролирует). Ок, да, так оно и было. Я мог свободно сделать логин и пароль admin/admin. Что мы теперь имеем по факту:
1. Всем принудительно обновили прошивку и исправили уязвимость CWE-521.
2. При простой проверке, оказалось что ничего не исправлено. Я как и раньше могу задать очень и очень слабый пароль.
Кому интересно, можете погуглить какие требования к паролям должны быть после исправления такой уязвимости.
В результате получаем, что принудительное обновление не решило ровным счетом ничего. Выводы все сами сделаете, и не надо на меня нападать, я уже заранее знаю что мне будут писать про то что с таким паролем не будет работать удаленный доступ (я не проверял, но это не долго проверить), и это не моя вина.  Записал тут скринкаст, как я меняю пароли на обновленном принудительно роутере. А вообще можете сами у себя проверить. Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все! И еще, у меня тут выходные нарисовались, так что продолжение следует...

[Валерий-Т]

2 часа назад, Mukcep сказал:

Лично у меня обновилось с 3-й версии при выключенном автообновлении. Так что эта возможность есть во всех прошивках.
На моем устройстве это уже второй раз, когда обновление произошло без моего ведома при выключенном автообновлении. 
В прошлый раз поддержка все отрицала.
Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

Можно! Все настройки сохраняются.
Я откатился на: 4.0.4
 

[Denis P]

14 минут назад, Joyn Silver сказал:

Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все!

Тоесть вот вообще никакой разницы с предыдущей возможностью поставить паролем одну букву или цифру, да? 

Продолжайте наблюдение (с)

Изменено 2 часа назад пользователем Denis P

[krass]

Только что, Denis P сказал:

Тоесть вот вообще никакой разницы с предыдущей возможностью поставить паролем одну букву или цифру, да? 

Ого! Как было всё запущено! Мне бы и в голову не пришло сделать такой пароль. Тем более при удаленном доступе...

[Валерий-Т]

12 минут назад, Joyn Silver сказал:

Всем привет! Я тут немного шумел на форуме, возможно не по делу, но то что я писал, тоже важно. А теперь по делу. Заявленная критическая уязвимость CWE-521, ради которой нас тут всех принудительно обновили, предполагает что пользователь может создать любой пароль в интерфейсе и интерфейс это никак не контролирует (ну или слабо контролирует). Ок, да, так оно и было. Я мог свободно сделать логин и пароль admin/admin. Что мы теперь имеем по факту:
1. Всем принудительно обновили прошивку и исправили уязвимость CWE-521.
2. При простой проверке, оказалось что ничего не исправлено. Я как и раньше могу задать очень и очень слабый пароль.
Кому интересно, можете погуглить какие требования к паролям должны быть после исправления такой уязвимости.
В результате получаем, что принудительное обновление не решило ровным счетом ничего. Выводы все сами сделаете, и не надо на меня нападать, я уже заранее знаю что мне будут писать про то что с таким паролем не будет работать удаленный доступ (я не проверял, но это не долго проверить), и это не моя вина.  Записал тут скринкаст, как я меняю пароли на обновленном принудительно роутере. А вообще можете сами у себя проверить. Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все! И еще, у меня тут выходные нарисовались, так что продолжение следует...

То что Вы показали - это только подтверждает:
FW 4.3.6.3 - не имеет никакого отношения к безопасности.
Цель здесь совсем другая.
Учитывая:
1. "Переобувание" (первоначально, и сейчас, в описании исправлений
FW 4.3.6.3 - ни слова про короткий и небезопасный пароль) Keenetic 
2. Слом OPKG.
Цель - очень похожа на "устаревание" серверов Гугля.
 

[Илья Хрупалов]

17 минут назад, Joyn Silver сказал:

не решило ровным счетом ничего

Вы забываете простую вещь: если устройство вдруг уже было захвачено в ботнет, доступ снаружи закроется автоматически. Даже несмотря на то, что используемый словарь скомпрометированных паролей не содержит те варианты, что вы попробовали, представьте, как теперь злоумышленнику вернуть контроль над этим роутером (продолжает ведь работать и антибрутфорс, и порядочный пользователь с большой вероятностью поставит не такой вариант, как вы привели).

[svoron]

4 минуты назад, Валерий-Т сказал:

2. Слом OPKG.

Справедливости ради, OPKG на тех устройствах, на которых использовался - не отвалился. Надеюсь, и не отвалится

[Denis P]

7 минут назад, Валерий-Т сказал:

1. "Переобувание" (первоначально, и сейчас, в описании исправлений
FW 4.3.6.3 - ни слова про короткий и небезопасный пароль) Keenetic 

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

[Joyn Silver]

1 минуту назад, Denis P сказал:

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

Ну возможно и правда, я же сразу оговорку сделал, что не проверял. Но есть пару выходных. А факт заключается в том что вы не исправили уязвимость, никак. Хотите пришлю меры по исправлению, там не много, всего несколько обязательных пунктов. Но не сегодня к сожалению, поздно, спать пойду. На будущее - это только начало, дальше будет хуже. Я проходил такое, все совершают ошибки, главное их вовремя признать.

[Валерий-Т]

3 минуты назад, Denis P сказал:

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

----==== Фрагмент начало: ====----
KeeneticOS 4.3.6.3

21/10/2025

Улучшения

• Улучшена совместимость модемного USB-модуля FM350gl-16 с мобильным оператором Yota. [NDM-3997]

• Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора, что снижает риск несанкционированного доступа. [NDM-4097]

Исправления

• Исправлена ошибка, из‑за которой в приложении Сервер SMB неправильно копировались файлы с именованными потоками. [SYS-1450]

KeeneticOS 4.3.6.2

----==== Фрагмент конец: ====----
 

И где здесь - про слабый и небезопасный пароль?
конкретно для FW 4.3.6.3!
 

[Илья Хрупалов]

2 минуты назад, Joyn Silver сказал:

А факт заключается в том что вы не исправили уязвимость, никак. Хотите пришлю меры по исправлению, там не много, всего несколько обязательных пунктов

Присылайте тогда уж мне, будем признательны за конструктивные замечания.

[Joyn Silver]

5 минут назад, Илья Хрупалов сказал:

Присылайте тогда уж мне, будем признательны за конструктивные замечания.

Ну вот, наконец-то хоть что-то сдвинулось. Найти рекомендации по исправлению уязвимости не сложно в интернете. Но я конечно пришлю. Нужно же подготовить. Вообще спать хочу. Завтра еще тесты буду тестировать, у меня теперь есть свободный роутер после ваших обновлений )).