Российский производитель сетевого оборудования Keenetic выпустил критическое обновление безопасности для своей операционной системы KeeneticOS, закрывающее семь уязвимостей в базовой криптографической библиотеке OpenSSL. Выпуск версии 5.0.10, состоявшийся 15 апреля 2026 года, направлен на устранение рисков, связанных с ошибками, которые могут привести к отказу в обслуживании или потенциальной утечке информации. Это событие затрагивает широкий спектр пользователей - от домашних сетей до малого бизнеса, полагающихся на маршрутизаторы Keenetic для безопасного доступа в интернет и организации VPN-соединений.
Детали уязвимостей
Основным изменением в обновлении стало обновление библиотеки OpenSSL до версий 3.5.6 и 3.0.20. Пакет исправлений включает семь идентификаторов уязвимостей общего характера (CVE), опубликованных разработчиками OpenSSL в начале апреля. Хотя все обнаруженные проблемы были оценены как низкой степени серьёзности (Low severity) согласно политике безопасности OpenSSL, их совокупное присутствие в прошивке сетевого оборудования повышает общий риск для инфраструктуры. В свою очередь, своевременное обновление является ключевой мерой для поддержания целостности и доступности сетевых устройств.
Среди исправленных уязвимостей можно выделить несколько категорий. Первая касается ошибок чтения за пределами выделенной памяти (Out-of-bounds Read) и повреждения кучи (Heap Buffer Overflow). Например, CVE-2026-28386 затрагивает алгоритм шифрования AES-CFB128 на системах с поддержкой специфичных инструкций AVX-512 и VAES. В определённых условиях, при обработке неполных блоков шифротекста, возможно чтение до 15 лишних байт из памяти, что может привести к аварийному завершению работы приложения. Другая проблема, CVE-2026-31789, связана с переполнением буфера в куче на 32-битных платформах при преобразовании очень больших строковых данных из сертификатов X.509 в шестнадцатеричный формат. Хотя для эксплуатации требуются гигантские, маловероятные сертификаты, сама возможность существует.
Вторая группа уязвимостей связана с разыменованием нулевого указателя (NULL Pointer Dereference). Сюда входят CVE-2026-28388, CVE-2026-28389 и CVE-2026-28390. Эти ошибки могут быть спровоцированы при обработке специально сформированных данных, таких как дельта-списки отозванных сертификатов (Delta CRL) или сообщений в формате CMS (Cryptographic Message Syntax). Во всех случаях результатом является аварийный сбой процесса, то есть классическая атака на отказ в обслуживании. Для запуска атаки необходимо, чтобы устройство или сервис обрабатывали непроверенные внешние данные, например, принимали сертификаты от ненадёжных источников в рамках инфраструктуры открытых ключей (Public Key Infrastructure, PKI).
Особого внимания заслуживает уязвимость CVE-2026-31790, связанная с некорректной обработкой ошибок в механизме инкапсуляции ключей RSA KEM RSASVE. В данном случае при сбое шифрования приложение может отправить собеседнику содержимое неинициализированного буфера памяти, которое может включать конфиденциальные данные от предыдущих операций. Это создаёт риск утечки информации, что является более серьёзной угрозой по сравнению с простым сбоем. Примечательно, что данная проблема затрагивает даже модули, сертифицированные по стандарту FIPS, что подчёркивает её важность для регулируемых отраслей.
Эксперты отмечают, что, несмотря на низкие индивидуальные оценки CVSS, контекст внедрения OpenSSL в прошивку маршрутизатора меняет ситуацию. Сетевое оборудование часто работает в режиме 24/7, обрабатывает внешний трафик и является критическим элементом инфраструктуры. Успешная атака с использованием одной из этих уязвимостей может привести к перезагрузке маршрутизатора, разрыву VPN-туннелей, отказу в обслуживании интернет-соединения для всех подключённых устройств. В корпоративной среде это означает простои и потенциальные финансовые потери. Кроме того, маршрутизаторы всё чаще становятся целью сложных атак, где злоумышленники комбинируют несколько низкоуровневых уязвимостей для достижения своих целей.
Что касается практических шагов, то рекомендация для всех пользователей оборудования Keenetic очевидна - немедленно установить обновление KeeneticOS 5.0.10 через веб-интерфейс устройства. Процесс обновления, как правило, занимает несколько минут и требует перезагрузки устройства. Важно отметить, что наряду с исправлениями безопасности, обновление также содержит незначительные исправления в интерфейсе, например, корректное отображение иконок накопителей при определённых разрешениях экрана. Между тем, для специалистов по кибербезопасности этот инцидент служит ещё одним напоминанием о важности управления обновлениями для встроенного программного обеспечения (firmware) и программных компонентов с открытым исходным кодом, которые могут годами оставаться без внимания в рамках сложных цепочек поставок.
Ссылки
- https://support.keenetic.ru/giga/kn-1011/ru/9134-latest-preview-release.html#55259-keeneticos5-0-10
- https://www.cve.org/CVERecord?id=CVE-2026-28386
- https://www.cve.org/CVERecord?id=CVE-2026-28387
- https://www.cve.org/CVERecord?id=CVE-2026-28388
- https://www.cve.org/CVERecord?id=CVE-2026-28389
- https://www.cve.org/CVERecord?id=CVE-2026-28390
- https://www.cve.org/CVERecord?id=CVE-2026-31789
- https://www.cve.org/CVERecord?id=CVE-2026-31790
