Роутеры Keenetic обновились принудительно для устранения уязвимости

В конце каждого месяца на Xakep.ru подводятся итоги новостей из сферы информационной безопасности. Среди значимых событий ноября — самостоятельное обновление роутеров Keenetic, борьба Microsoft с KMS-активацией Windows, расширение Минцифрой «белых списков» сайтов, массовый взлом маршрутизаторов Asus, а также утечка личных данных 3,5 миллиарда пользователей WhatsApp. **Роутеры Keenetic получили принудительные обновления** Владельцы роутеров Keenetic заметили, что их устройства обновились до новой версии прошивки, даже несмотря на отключённую опцию автоматического обновления в настройках. Производитель подтвердил факт принудительного обновления, объяснив его необходимостью устранения недавно обнаруженной уязвимости. В начале ноября компания Keenetic выпустила бюллетень безопасности KEN-PSA-2025-WP01, в котором описала уязвимость типа CWE-521, связанную со слабыми требованиями к паролям. Проблема получила высокий балл (8,8) по шкале CVSS и затрагивала устройства, работающие на версиях KeeneticOS ниже 4.3. Уязвимость заключалась в том, что пользователи могли устанавливать слабые пароли администратора и одновременно открывать доступ к веб-конфигуратору из интернета, что создавало высокий риск компрометации. Для успешной атаки требовалось, чтобы веб-конфигуратор был доступен через интернет и был включён удалённый веб-доступ. Keenetic сообщила, что автоматизированные сканеры паролей активно эксплуатируют эту уязвимость на устройствах с наиболее распространёнными слабыми паролями. Последняя версия KeeneticOS 4.3 требует более надёжные пароли и блокирует публичный веб-доступ при использовании скомпрометированных паролей. Разработчики предупредили о возможных последствиях эксплуатации уязвимости, включая полный захват контроля над устройством, изменение конфигурации, перехват и перенаправление трафика, включение дополнительных служб и возможное проникновение во внутреннюю сеть. Компания Keenetic рекомендовала пользователям обновить устройства до версии KeeneticOS 4.3 или более поздней, а также отключать удалённый веб-доступ при отсутствии необходимости и использовать длинные, уникальные пароли (не менее 15 символов или сгенерированную кодовую фразу). После публикации бюллетеня многие пользователи заметили, что их роутеры самостоятельно обновились, несмотря на отключённое автообновление. Представители компании в Telegram-группе пояснили, что обновление было связано с устранением проблемы CWE-521. Решение о принудительном обновлении вызвало негативную реакцию среди пользователей, которые выразили недовольство на официальном форуме Keenetic, требуя предоставить возможность отключения этой функции.