Пользователи роутеров Keenetic обнаружили, что их устройства самостоятельно получили новую версию прошивки, даже если автоматическое обновление было отключено в настройках. Представители производителя подтвердили факт принудительного обновления и заявили, что оно связано с недавно обнаруженной уязвимостью.

В начале ноября разработчики Keenetic опубликовали бюллетень безопасности KEN-PSA-2025-WP01, посвященный уязвимости типа CWE-521 (слабые требования к паролям). Сообщается, что проблема получила 8,8 балла по шкале CVSS и затрагивала устройства Keenetic, работающие под управлением KeeneticOS ниже 4.3.

Уязвимость была связана с тем, что на устройствах с прошивками до KeeneticOS версии 4.3 пользователи могли устанавливать «слабые пароли администратора и при этом открывать доступ к веб-конфигуратору из интернета, что создавало высокий риск компрометации». Подчеркивалось, что обязательным для компрометации условием являлась доступность веб-конфигуратора через интернет и включенный удаленный веб-доступ.

«Внутренние расследования показали, что эта уязвимость эксплуатируется автоматизированными сканерами паролей на устройствах с наиболее распространенными слабыми паролями. Последняя версия KeeneticOS 4.3 требует более надежных паролей и блокирует публичный веб-доступ, если установлен известный скомпрометированный пароль», — предупреждали в компании.

Среди возможных последствий от эксплуатации этой уязвимости разработчики назвали полный захват контроля над устройством, позволяющий изменять конфигурацию, перехватывать/перенаправлять трафик, включать дополнительные службы и, возможно, дальнейшее проникновение во внутреннюю сеть.

Представители Keenetic рекомендовали пользователям обновить устройства с версиями ниже 4.3 до KeeneticOS 4.3 или более поздних, а также отключать удаленный веб-доступ, если он не нужен, и использовать длинные, уникальные пароли (длиной не менее 15 символов или сгенерированную кодовую фразу).

Вскоре после публикации этого бюллетеня многие пользователи роутеров Keenetic обратили внимание (1, 2, 3), что их устройства самостоятельно установили обновление прошивки, даже если автообновление было отключено в настройках.

Как пояснили в Telegram-группе представители компании, обновление было связано с устранением проблемы CWE-521, описанной в бюллетене KEN-PSA-2025-WP01.

Решение о принудительном обновлении устройств вызвало волну критики со стороны пользователей. На официальном форуме Keenetic появился тред с требованием предоставить возможность отключения принудительных обновлений, а в Telegram-группе развернулась активная дискуссия, в которой пользователи выражают недовольство тем, что производитель может удаленно управлять их устройствами в обход настроек. Некоторые участники обсуждения расценили произошедшее как свидетельство наличия бэкдора в прошивке роутеров.