Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Валерий-Т]

3 минуты назад, Denis P сказал:

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

----==== Фрагмент начало: ====----
KeeneticOS 4.3.6.3

21/10/2025

Улучшения

• Улучшена совместимость модемного USB-модуля FM350gl-16 с мобильным оператором Yota. [NDM-3997]

• Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора, что снижает риск несанкционированного доступа. [NDM-4097]

Исправления

• Исправлена ошибка, из‑за которой в приложении Сервер SMB неправильно копировались файлы с именованными потоками. [SYS-1450]

KeeneticOS 4.3.6.2

----==== Фрагмент конец: ====----
 

И где здесь - про слабый и небезопасный пароль?
конкретно для FW 4.3.6.3!
 

[Илья Хрупалов]

2 минуты назад, Joyn Silver сказал:

А факт заключается в том что вы не исправили уязвимость, никак. Хотите пришлю меры по исправлению, там не много, всего несколько обязательных пунктов

Присылайте тогда уж мне, будем признательны за конструктивные замечания.

[Joyn Silver]

5 минут назад, Илья Хрупалов сказал:

Присылайте тогда уж мне, будем признательны за конструктивные замечания.

Ну вот, наконец-то хоть что-то сдвинулось. Найти рекомендации по исправлению уязвимости не сложно в интернете. Но я конечно пришлю. Нужно же подготовить. Вообще спать хочу. Завтра еще тесты буду тестировать, у меня теперь есть свободный роутер после ваших обновлений )).

[KeyYerS]

6 часов назад, Denis P сказал:

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

Зачем Вы додумываете за вендором? Случаем не пользуете роутер в качестве цветомузыки? "- Ведь у него же есть лампочки, значит он так может..."    
Разбор фразы на составные:  есть -устройство-; есть встроенный admin; у него слабый пароль; к -устройству- /в "принудительной" версии/ теперь блокируется публичный доступ.   Всё!!!
Все проблемы в восприятии написанного в статьях и примечаниях к релизам - это некорректный перевод с английского, как впрочем многое другое, упоминаемое на форуме, коряво звучащее на русском и безобразно выглядящее в вебке.

@John Silver  Не облегчайте им работу, подкидывая идеи...  Пока сами не научатся мыслить, пока не перестанут просто тупо переводить с en веб и приложение  -  отношение к пользователям не поменяется... Им нас не понять...

Почему никто не обратил внимание, что вдогон к "административно-принудительной" крайней версии настоятельно выпадает типа обновлённое лиц/соглашение   - но от КИНЕТИК, а не от Неткрэйз???

Изменено 29 ноября пользователем KeyYerS

[KeyYerS]

9 часов назад, krass сказал:

А есть случаи с keenos 2.11 и 2.16 ?
Есть пострадавшие?

Или под прицелом только  keenos 3.x и 4.x ?

@krass  Мои пока "держатся" на delta_2.16.D.12.0-12, видимо для них уже "полный EoL" наступил....  
До появления версии 4.3.6.3  ранее никогда не происходило "административно-принудительного обновления", какие бы критические угрозы не объявлялись; значит утверждение что "механизм игнора уже был в прошивке" весьма сомнительно - всё только слова, никто же не проверит...

@Илья Хрупалов   Вам вопрос:   а что представителями сделано для цели включения в "белые списки"?  Меры по "ночному" отключению моб/инета врядли временные...

Изменено 29 ноября пользователем KeyYerS

[frontcccp]

Так как же все таки откатить прошивку на старую версию, но не через веб интерфейс ? Потому, что в веб интерфейс я попасть не могу.

[Axel Pervolianinen]

Почитал тему, и у топящих за "безопасность", "бэкдоры от производителя" - поголовно ни у кого нет бэкапов. 

Если уж "топите" за безопасность, то бэкап это самый базовый уровень защиты, все остальное пляшет от него.

А то получается, что когда Вам производитель закрыл "дырень" в механизмах защиты - это плохо, а то что у вас там защитой и не пахло - это нормально. И если, а точнее когда из-за вашего "нормально" вам отрубают интернет или того хуже выносят дверь тяжелые, начинается "плач ярославны" и "производитель плохой, я тут ни при чем"...

 

[Mamay]

8 минут назад, frontcccp сказал:

Так как же все таки откатить прошивку на старую версию, но не через веб интерфейс ? Потому, что в веб интерфейс я попасть не могу.

Так

[Axel Pervolianinen]

6 часов назад, Joyn Silver сказал:

вы не исправили уязвимость, никак

Просто ради интереса посчитайте минимальное число комбинаций до подбора указанного вами же пароля. И сколько времени это займет.

[keenet07]

8 часов назад, AndyU сказал:

Или можно просто на траффик посмотреть штатными средствами роутера. 

Именно.

[frontcccp]

12 минут назад, Mamay сказал:

Так

Благодарю. Но через веб интерфейс я не могу откатить. Я не могу попасть в админку роутера.

[Mamay]

2 минуты назад, frontcccp сказал:

Благодарю. Но через веб интерфейс я не могу откатить. Я не могу попасть в админку роутера.

Если верить подписи это ваш аппарат. Там предлагают, помимо web ещё два варианта. Мобильное приложение и утилита для win.

[frontcccp]

9 минут назад, Mamay сказал:

Еутилита для win.

В неё можно любую прошивку подставить ?

[Mamay]

1 минуту назад, frontcccp сказал:

В неё можно любую прошивку подставить ?

Абсолютно.

[Mamay]

На самом деле можно попробовать сменить канал через telnet/ssh, не прибегая к web и спецПО.

show version

components list draft

components commit

 

components list delta

components commit

 

components list beta

components commit

 

components list stable

components commit

 

components list legacy

components commit

[Mamay]

6 минут назад, frontcccp сказал:

И еще тупой вопрос. Извините.

Попробуйте читать что пишет база знаний.

P.S. Выше указан третий вариант.

[frontcccp]

Доперло наконец. Просто в папку программы подкладываю ту прошивку, которую мне надо. Благодарю еще раз. 

[Denis P]

4 часа назад, KeyYerS сказал:

Зачем Вы додумываете за вендором? Случаем не пользуете роутер в качестве цветомузыки? "- Ведь у него же есть лампочки, значит он так может..."    
Разбор фразы на составные:  есть -устройство-; есть встроенный admin; у него слабый пароль; к -устройству- /в "принудительной" версии/ теперь блокируется публичный доступ.   Всё!!!
Все проблемы в восприятии написанного в статьях и примечаниях к релизам - это некорректный перевод с английского, как впрочем многое другое, упоминаемое на форуме, коряво звучащее на русском и безобразно выглядящее в вебке.

@John Silver  Не облегчайте им работу, подкидывая идеи...  Пока сами не научатся мыслить, пока не перестанут просто тупо переводить с en веб и приложение  -  отношение к пользователям не поменяется... Им нас не понять...

Почему никто не обратил внимание, что вдогон к "административно-принудительной" крайней версии настоятельно выпадает типа обновлённое лиц/соглашение   - но от КИНЕТИК, а не от Неткрэйз???

Чукча, однако, не читатель.

Если потратить немного времени на изучение тех же лицензионных соглашений, а не на пустое графоманство, то многое бы прояснилось. Правда возникают небольшие сомнения, учитывая что предложение:

• Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора, что снижает риск несанкционированного доступа. [NDM-4097]

Вызывает у вас ощущение недосказанности и вы видите в нем какие-то "скрытый смысл" и неоднозначность.

Изменено 29 ноября пользователем Denis P

[AndyU]

Кстати про SSH. А не планируется научить роутер пользоваться сертификатами и отключать вход по паролю, а admin'у вообще? Ну еще sudo хочется, если нет.

[AndyU]

12 hours ago, Илья Хрупалов said:

Вы забываете простую вещь: если устройство вдруг уже было захвачено в ботнет

...то роутер уже сам давным давно лазает в интернет за всякими вредоносными payload и по расписанию начинает делать гадости. И единственный способ бороться - искать провайдеров, и сообщать им про потенциальные проблемы с Keenetic'ами. А уж дальше пусть они сами со своими клиентами разбираются. Хотя они и так должны такое отлавливать по нетипичной активности роутеров.

[KeyYerS]

2 часа назад, Denis P сказал:

...Если потратить немного времени на изучение тех же лицензионных соглашений...

Спойлер

то у нормального человека сразу возникает вопрос:   лиц соглашение от " ООО Кинетик" ( в н.в. забугорная контора), а в РФ же "ООО Неткрэйз"?  Так кто опять имеет доступ к нашим ПД?   Контора в РФ или забугорная?

Тогда совсем неадекватно выстроена система:   нужно прямо в момент покупки сей продукции (перед отбитием  чека и выдачей товара) давать клиенту подписывать все эти лиц/соглашения. И если он согласен - отбивать чек и выдавать товар.  А сейчас ( 4 года назад такого не было и в помине) купил роутер, а потом тебя нагибают этими Л/С, вынуждая соглашаться...

[keenet07]

Я бы предложил следующую концепцию.

Ввести новый привилегированный уровень доступа для пользователя, условно назвать его режим sudo.

В этом режиме работали бы те команды которые должны быть защищены особым образом. Сюда можно отнести в том числе команду для включения/отключения удаленного обновления прошивки кем бы то ни было кроме владельца устройства.

Как это работает. Для повышения уровня доступа до sudo необходимо при входе в него зажать определенную физическую кнопку на роутере или нажать её определенное количество раз с определенным интервалом. Это может быть любая кнопка, например та что отключает WIFI. Таким образом система должна удостовериться, что владелец действует целенаправленно физически присутствуя рядом с устройством.

Добавить функционал по назначения повышенных привилегий выполнения для определенного перечня команд который пользователь выберет сам, желательно.

В него можно включить: само назначение и изменение этого списка, функцию удаленного обновления, включая ручное, смену различных паролей на устройстве, админа, wifi и прочего, запуск/остановка определенных служб, обновления и всё остальное, что может быть критично в плане безопасности при удаленном доступе.

Что это даст? Во первых, сами выбираем что и от чего защищаем. Ограничиваем возможности, если требуется, для удаленного изменения выбранных настроек. Например, нельзя будет удаленно включить возможность принудительного обновления. Это из насущного. )

Дальше, можно будет запретить определенные действия или изменения при любом виде удаленного доступа, будь то web, SSH, telnet или облачный доступ через приложение мобильного устройства. Выбрать команды, каждый для себя сам определит, что для него критично, которые сработают только при физическом доступе.

Получаем полный контроль доступа. Невозможность  что-то лишнее изменить удаленно.

Иногда конечно нужен полный удаленный доступ, вот для этого и нужно чтоб можно было выбрать что именно включить в этот режим.

Всё это создаст более доверительную модель управления устройством, в том числе не жертвуя функциями удаленного доступа полностью.

Даже если  кто-то завладеет паролем админа или облачным доступом, он не сможет нанести большого вреда.

Конечно здесь ещё многое нужно предусмотреть. Ведь такого решения на рынке ещё нет.

Изменено Суббота в 12:54 пользователем keenet07

[Denis P]

10 минут назад, KeyYerS сказал:

лиц соглашение от " ООО Кинетик" ( в н.в. забугорная контора), а в РФ же "ООО Неткрэйз"? 

Откройте ЕГРЮЛ, ей богу, вас что нужно повсюду за руку водить?

[D_K_]

30 минут назад, keenet07 сказал:

Я бы предложил следующую концепцию.

Гораздо удобнее это осуществляется паролем суперадмина. Пароль например можно создать только после сброса роутера. Он не хранится в конфиг файле, а хранится на разделе "u-boot config". Его нельзя увидеть или поменять зайдя под простым админом, только ресетнув роутер и создать новый если забыл. В интерфейсе при первом включении кнопка " создать пароль суперадмина" как создал - кнопка меняется на надпись " пароль создан" и все больше к его изменению или просмотру доступа нет, только вводить по памяти или ресетить роутер.

И под пароль уже ставить определенные действия. 

А танцы с физической кнопкой где нибудь по звонку в район " привет тетя Клава это я ваш админ, видите там белую коробочку под потолком понажимайте пожалуйста сыграв на ней мурку щелчками" такое себе 

[keenet07]

2 часа назад, D_K_ сказал:

Гораздо удобнее это осуществляется паролем суперадмина. Пароль например можно создать только после сброса роутера. Он не хранится в конфиг файле, а хранится на разделе "u-boot config". Его нельзя увидеть или поменять зайдя под простым админом, только ресетнув роутер и создать новый если забыл. В интерфейсе при первом включении кнопка " создать пароль суперадмина" как создал - кнопка меняется на надпись " пароль создан" и все больше к его изменению или просмотру доступа нет, только вводить по памяти или ресетить роутер.

И под пароль уже ставить определенные действия. 

А танцы с физической кнопкой где нибудь по звонку в район " привет тетя Клава это я ваш админ, видите там белую коробочку под потолком понажимайте пожалуйста сыграв на ней мурку щелчками" такое себе 

Пароль суперадмина он конечно практичен. Но его можно украсть, перехаватить, и использовать.

Но ваше предложение о защищенном супер-пароле можно применить в качестве дополнительной защиты в предложенном мной выше методе. Это послужит дополнительной защитой от некоторых видов атак путем социальной инженерии. Нужно будет знать и этот пароль и нажать комбинацию на устройстве. Суть такова, что этот пароль может быть использован только при физическом доступе.   Если подумать, то сам этот защищенный пароль вообще можно упростить до трех, четырехзначного цифрового кода, который можно было бы набрать с помощью кнопки, например код 324 это три быстрых нажатия, пауза, два быстрых, пауза, четыре быстрых. Это супер круто (снимает задачу ввода суперпароля где-то в интерфейсе), но да, сложновато для простого обывателя в использовании. В другой стороны, зачем вообще домохозяйка полезет в настройку такой функции.

Изменено Суббота в 15:25 пользователем keenet07

[Master2009]

9 часов назад, Axel Pervolianinen сказал:

А то получается, что когда Вам производитель закрыл "дырень" в механизмах защиты - это плохо, а то что у вас там защитой и не пахло - это нормально.

Не у каждого всё это было грамотно настроено, но если есть трещина, то это не повод расковыривать её до дыры или производителю менять правый ботинок у пользователя. На ходу, без предупреждения. Над лужей. У меня, например, был давний бэкап, настройки относительно недавние, но бэкап валялся в файлопомойке, его теперь надо проверить, от той ли он прошивки, те ли настройки рядом с ним хранились.

В жизни много других дел, роутером жизнь не исчерпывается. Хотели провести учения по бэкапам для клиентов, можно было бы сделать предупреждения в админке заранее, затребовать предъявить бэкапы для роутера и т.п. Хотя бы за пользователей действительно сохранить им бэкап, если взяли на себя ответственность обновить всё, даже жёсткий диск подключен был в моём случае.

Все эти предупреждения и сценарии можно предусмотреть, если сотрудникам фирмы собраться вместе, устроить мозговую встречу и заранее задать себе вопросы, а что если:

1. Взломают и надо будет срочно обновить прошивку?

2. Если надо будет о чём-то предупредить пользователя, какие механизмы?

3. Не дать при этом пользователю почувствовать, что он тут лишний у себя в своём роутере?

4. А что если ... и т.п. вопросы задать заранее, а не когда становится понятно, что облажались и для того, чтобы прикрыть попу, надо столкнуть пользователя с его места, которое на минутку, ему уже продали, получили за это деньги и оно его, личное.

Всё это можно было организовать, даже заранее спросив пользователей: "Люди, как вас предупредить, если вдруг катастрофа и надо срочно исправить что-то, а до вас не достучаться?". Пообсуждали бы на форуме, сказали, как нормально. Взять заранее email, телефон, другие контакты, согласие на обновление или отказ в нём под свою ответственность (можно просто заблокировать несогласных в облаке, если не обновлялись, были предупреждены и их взломали. Пошёл ботнет работать, тогда точно сами ответственны за ботнет).

Продаётся роутер не для блондинок, если вдруг такие попались среди клиентов, то это имело смысл заранее учесть. Можно было даже просто отказать в облачном обслуживании клиентам с коротким паролем без дополнительного подтверждения, пока не поменяют, не требуя немедленного обновления прошивки, например через смс на телефон или короткий код на email (впрочем даже если не было возможно технически, роли не играет, разговор не об этом).

Вас застройщик в новостройке не посещал ещё ночью, в спальне, с женой? А он как раз вспомнил, что дырка у вас в квартире осталась на этаж ниже, пришёл законопатить в час ночи и заодно входную дверь поменять, а вас на улицу вытолкнул, пока менял дверь. Хотели бы вы подобного?

Или как будто вдруг кто-то резко дёрнул за руль клиентского авто, когда он за рулём. На полном ходу. Перед постом ГИБДД. В плотном потоке. Вот сейчас у ВАЗа клинит руль при движении, как быстро люди из-за такой самостоятельности, как отказ управления, даже слухов об этом, продадут эту машину и зарекутся иметь с ней дело?

Если вопрос решить проблему, то удаленное управление без явного согласия клиента на это неприемлемо ни под каким видом (даже если тогда не думали об этом, когда добавили, или не афишировали) и тогда это решаемо. Теперь только исправлять, если собирались.

 

Изменено Суббота в 15:58 пользователем Master2009
Исправил текст и убрал лишнее.

[frontcccp]

7 часов назад, KeyYerS сказал:

  Показать контент

то у нормального человека сразу возникает вопрос:   лиц соглашение от " ООО Кинетик" ( в н.в. забугорная контора), а в РФ же "ООО Неткрэйз"?  Так кто опять имеет доступ к нашим ПД?   Контора в РФ или забугорная?

Тогда совсем неадекватно выстроена система:   нужно прямо в момент покупки сей продукции (перед отбитием  чека и выдачей товара) давать клиенту подписывать все эти лиц/соглашения. И если он согласен - отбивать чек и выдавать товар.  А сейчас ( 4 года назад такого не было и в помине) купил роутер, а потом тебя нагибают этими Л/С, вынуждая соглашаться...

Не вынуждайтесь. Откатывайтесь на момент покупки.

[Andrey S.]

Думается недоговаривают нам, видимо случилась у ребят какая-то оченно серьезная дыра беда, ибо устроить такое, заради принуждения юзверя установить "сложный пароль" под который подходит admin1234 это... я извиняюсь.. Такая себе версия.

[and0r]

1 час назад, Andrey S. сказал:

Думается недоговаривают нам, видимо случилась у ребят какая-то оченно серьезная дыра беда, ибо устроить такое, заради принуждения юзверя установить "сложный пароль" под который подходит admin1234 это... я извиняюсь.. Такая себе версия.

Или  пришла просьба  из служб, называющихся аббревиатурами из трех букв,  для   предоставления им технической возможности  вести сбор данных, а если "неткрейз" не согласятся, то найдут повод отключить газ   отнять  лицензию на деятельность ... 

Фантастика  - может быть и так, а может быть и нет.  Удивляться нечему уже  

[Axel Pervolianinen]

В 29.11.2025 в 18:23, Master2009 сказал:

Вас застройщик в новостройке не посещал ещё

Глупая аналогия. По одной простой причине. Квартира принадлежит владельцу. И он может в ней делать все что угодно, не противоречащее закону, иначе и дверь вынесут и ногами потопчут. А если квартира не ваша, то ничего не мешает владельцу прийти когда угодно, если не оговорено иное в договоре Вашей аренды. 

ПО кинетик, принадлежит кинетик , не вам. И по п. 9.1 лицензионного соглашения, с которым вы согласились покупая их продукт, компания имеет право править своё ПО как хочет и когда хочет. Более того, это стандартная лицензия для большинства производителей ПО.