Точка недоступа: предприятия оказались под угрозой из-за роутеров Keenetic

Пользователи роутеров Keenetic из России попали в незавидное положение из-за серьезной утечки, которая раскрыла конфиденциальные учетные данные, информацию об устройствах, конфигурации сетей и логи. Используя эти данные, хакеры могут напрямую подключаться к затронутым сетям и брать их под свой контроль.

Об утечке первой 21 марта сообщила команда Cybernews. Инцидент признал и производитель роутеров, уточнив, что еще два года назад независимый исследователь в области ИТ-безопасности сообщил им о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic.

Зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин призвал пользователей роутеров Keenetic задуматься о замене устройства на отечественные аналоги.

Как объяснил Mashnews глава представительства Totolink в России, эксперт департамента ИТ ФГУП «Российская телевизионная и радиовещательная сеть» Дмитрий Акиньшин, роутеры Keenetic используются на некоторых промышленных предприятиях, а также в качестве точек доступа и для организации бесшовной связи для малого и среднего бизнеса. Их безопасность тоже вызывает опасения.

В Keenetic угрозу отрицают

По словам Акиньшина, компания Keenetic была зарегистрирована в Гонконге, однако сейчас это сугубо российское «детище», разработка российского офиса производителя сетевого оборудования ZyXEL.

«Когда настал «час Х», ZyXEL ушел, но Keenetic остался, став обособленным брендом. При этом производство аппаратной части продолжалось на заводах Китая и Тайваня», — уточнил эксперт.

Mashnews направил запросы ООО «Конфлай» (юрлицо официального интернет-магазина Keenetic Shop в России) и ООО «Неткрейз» (импортер оборудования).

В компании «Неткрейз» объяснили, что они являются официальным импортером, а также выполняют сервисные функции для продукции Keenetic. «Насколько мы знакомы с ситуацией, информация в материале SecurityLab содержит существенные искажения реального развития и положения дел. Рекомендуем опираться на официальное заявление Keenetic Limited», — подчеркнули в компании.

По словам представителей «Неткрейз», они переслали вопросы Mashnews в компанию Keenetic Limited и получили следующие комментарии:

«Инцидент с мобильным приложением Keenetic не был связан с какими-либо хакерскими атаками или взломами. Как подробно указано в заявлении, в марте 2023 года с Keenetic Limited связался независимый ИТ-исследователь безопасности систем и сообщил об уязвимости, которая была незамедлительно устранена. Хотя этот исследователь действительно получил доступ к базе данных мобильного приложения Keenetic по состоянию на 16 марта 2023 года, компания заручилась гарантиями сохранения конфиденциальности данных, которые выполнены. На сегодняшний день данные мобильного приложения Keenetic никому не доступны, нигде не выложены и никаким образом не скомпрометированы. Более того, за все время работы мобильного приложения Keenetic не было ни одного случая жалобы пользователя из-за утечки данных или иных проблем, связанных с безопасностью».

В компании уточнили, что данные непосредственно роутеров Keenetic хранятся отдельно от данных, используемых в мобильном приложении Keenetic. Поэтому инцидент с базой данных мобильного приложения Keenetic ошибочно трактовать как инцидент с безопасностью роутеров Keenetic, что не отменяет рекомендаций по смене паролей роутеров, которые управлялись через мобильное приложение пользователями, зарегистрированными до 16 марта 2023 года.

«Мобильное приложение Keenetic, облачная база данных которого упоминается в инциденте, рассчитано на использование именно физическими лицами в домашних сценариях. В приложении нет регистрации для юридических лиц. Поэтому очень маловероятно, что его могли использовать промышленные предприятия. При этом большинство автономно работающих устройств Keenetic и данные их пользователей, которые никогда не устанавливали мобильное приложение или устанавливали после марта 2023 года, находятся в полной безопасности», — добавили в компании.

В ООО «Неткрейз» уточнили, что в рамках своих контрактов они не имеют возможности контролировать, в какие сектора экономики идут отгрузки от реселлеров.

СПРАВКА MASHNEWS

ZyXEL — производитель сетевого оборудования для среднего и малого бизнеса, промышленных предприятий и дома. Штаб-квартира компании находится в городе Синьчжу (Тайвань). С 2010 года входит в состав холдинга Unizyx.
Keenetic — производитель сетевого оборудования. В Россию продукцию Keenetic импортировало ООО «Кинетик», в сентябре 2024 года оно сменило название на «Неткрейз». В 2024 году выручка компании составила 4,6 млрд рублей, а прибыль — 781 млн.
ООО «Конфлай» — юридическое лицо официального интернет-магазина Keenetic в России (Keenetic Shop). В 2023 году его выручка составила 90 млн рублей, а убыток — 2,2 млн.

Продвинутость — не всегда хорошо

Одной из самых распространенных проблем с роутерами являются так называемые эксплойты — программы для выполнения сторонних действий в уязвимой системе. Чаще всего они носят глобальный характер и не делятся по территориальному признаку. Чем старше оборудование, тем больше шанс, что какой-то из эксплойтов будет задействован.

В большинстве случаев программное обеспечение для роутеров пишется на основе SDK (комплект для разработки) производителя чипсетов (набор микросхем, собранных в один кристалл на материнской плате), и по этой причине «дыры» могут оставаться там продолжительное время и даже не зависеть от бренда роутера.

По мнению Дмитрия Акиньшина, текущая проблема возникла не из-за эксплойтов, а, скорее, из-за продвинутости роутеров Keenetic — они обмениваются с серверами компании всей служебной информацией, и именно эта информация утекла в сеть. Обычный недорогой роутер не общается с серверами материнской компании за исключением обращений за обновлением прошивки OTA, а в случае с последней утечкой все пользовательские настройки улетали в «облако» Keenetic.

Говорить, насколько это серьезно, сложно — стоит разобраться, хранил ли Keenetic данные пользователей в РФ, как того требует Федеральный закон «О персональных данных» (152-ФЗ), и насколько они были защищены.

«Роутеры Keenetic используются на некоторых промышленных предприятиях, но не в качестве основного оборудования, а, скорее, как устройство для организации удаленного доступа к различного рода оборудованию. Очень популярна связка роутер+USB-свисток 4G/LTE, поскольку такое решение очень дешево и не требует специальных знаний для настройки. Также такие роутеры могут применяться в качестве точек доступа и для организации бесшовной связи для малого и среднего бизнеса», — объяснил Акиньшин.

СПРАВКА MASHNEWS

OTA («обновление по воздуху») — обновление встроенной системы, которое передается через Wi-Fi или мобильную сеть.
USB-свисток — Wi-Fi-адаптер, подключается к блоку персонального компьютера для работы в современных сетях Wi-Fi. Проще говоря — переходник, незаменимый для старых систем, которые не имеют встроенного маршрутизатора.
Маршрутизатор — сетевое устройство, которое соединяет вычислительные устройства и сети с другими сетями.

Депутат торопит события

Зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин в своем Telegram-канале призвал пользователей роутеров Keenetic срочно менять пароли от устройства и домашней Wi-Fi сети, а также задуматься о полной замене роутера. Mashnews попросил парламентария подробнее прокомментировать ситуацию.

«Наша сверхзадача — обеспечить и промышленность, и бытовых потребителей качественной электроникой отечественных вендоров. Сложно сказать, когда это случится — но уже сейчас нужно требовать, чтобы производители и поставщики сетевого оборудования несли всю полноту ответственности в случае каких-либо инцидентов. Ситуацию, которую допустила компания Keenetic, считаю непозволительной, и надеюсь, что пользователи сделают нужные выводы», — отметил Горелкин в беседе с нашим корреспондентом.

Дмитрий Акиньшин отметил, что при всем уважении, депутат Антон Горелкин несколько торопит события. До сих пор Keenetic не был замечен в серьезных скандалах, и то, что случилось, безусловно, заслуживает внимания и самого серьезного разбирательства.

«Существует сильная команда технической поддержки, и, будем надеяться, импортер быстро справится с возникшей проблемой и закроет дыру. Однако, если говорить начистоту, стоит отдавать предпочтение роутерам, произведенным на территории РФ и гарантирующим своим пользователям сохранность их персональных данных и конфиденциальной информации», — подчеркнул эксперт.

Он добавил, что сейчас на рынке сетевых устройств есть игроки (и выходят новые), которые производят свою продукцию в России. Однако до сих пор компонентная база остается за производствами в Китае.

«Таким образом, российскому производителю, чтобы добиться надежной защиты от дыр в безопасности, надо серьезно перерабатывать SDK разработчика. К сожалению, на это требуются большие ресурсы отделов R&D, а финальная стоимость прошивки может серьезно повлиять на розничную стоимость устройства. По крайней мере, о замене роутеров Keenetic на надежные российские решения стоит задуматься компаниям, уязвимым к взлому, особенно предприятиям с объектами КИИ и ЗОКИИ», — уточнил Акиньшин.

СПРАВКА MASHNEWS

R&D — Research and Development, рус. «Исследования и разработки».
Объекты КИИ и ЗОКИИ — объекты критической информационной инфраструктуры и значимые объекты критической информационной инфраструктуры.