Компания Keenetic выпустила новое обновление операционной системы KeeneticOS 5.0.6 для своих сетевых устройств. Центральным элементом безопасности этого релиза стало закрытие уязвимости, связанной с компонентом NGINX, который используется в веб-интерфейсе управления устройствами. Эта проблема, идентифицированная как CVE-2026-1642, затрагивала службу веб-конфигуратора и могла позволить злоумышленнику внедрять данные в защищённый трафик при определённых условиях.
Детали уязвимости
Уязвимость CVE-2026-1642 изначально была обнаружена в открытом (OSS) и коммерческом (Plus) продуктах NGINX, популярном веб-сервере и обратном прокси. Согласно описанию, проблема возникает, когда NGINX сконфигурирован для проксирования запросов к вышестоящим (upstream) серверам с поддержкой TLS. Атакующий, занявший позицию "человек посередине" (MITM) на стороне вышестоящего сервера, потенциально мог внедрить обычный текст в ответ от проксируемого сервера. Эксперты классифицировали эту уязвимость как CWE-349, что означает "Принятие посторонних непроверенных данных вместе с проверенными".
Важно отметить, что для успешной атаки требовалось соблюдение ряда условий, которые не всегда находятся под контролем злоумышленника. Например, ему необходимо было уже находиться в положении MITM на пути к целевому серверу. Оценка по шкале CVSS версии 3.1 составила 5.9 баллов, что соответствует среднему уровню серьёзности. Однако по обновлённой шкале CVSS 4.0 оценка возросла до 8.2 баллов, что указывает на высокий уровень угрозы в определённых контекстах развёртывания.
В KeeneticOS компонент NGINX используется для работы веб-интерфейса администратора, известного как Веб-конфигуратор. Хотя непосредственный риск для домашних пользователей мог быть ограничен из-за необходимых условий атаки, компания Keenetic оперативно интегрировала исправление от разработчиков NGINX в свою прошивку. Таким образом, обновление KeeneticOS 5.0.6 устраняет потенциальный вектор для компрометации сетевого устройства. Специалисты по кибербезопасности всегда рекомендуют своевременно устанавливать обновления прошивок, поскольку они часто содержат критические исправления безопасности.
Помимо устранения уязвимости, обновление 5.0.6 принесло ряд других улучшений и исправлений. Например, был усовершенствован метод обнаружения ретрансляторов в Wi-Fi-системе. Теперь он использует как стандартный протокол LLDP (протокол обнаружения канального уровня), так и собственный усовершенствованный протокол от Keenetic. Это улучшение позволяет более корректно работать с определёнными конфигурациями управляемых Ethernet-коммутаторов второго уровня (L2).
Среди прочих исправлений - решение проблемы, из-за которой беспроводные клиенты не могли подключиться, если специфический элемент "IE_SUPP_CHANNELS" в запросе на подключение Wi-Fi превышал 64 байта. Также была устранена несовместимость службы UPnP с устройствами хранения данных Synology NAS. Другое исправление касалось проблемы доступности имени сервиса KeenDNS для клиентов локальной сети после изменения режима его работы.
В веб-конфигураторе были исправлены несколько интерфейсных ошибок. В частности, улучшено отображение проводных клиентов, которые подключаются через беспроводные ретрансляторы. Кроме того, была исправлена фильтрация по имени клиента в системном журнале для случаев, когда имя содержит пробелы. Также устранена некорректная работа переключателей в настройках разрешённых диапазонов Wi-Fi для клиентов.
Установка данного обновления является важной мерой для поддержания безопасности домашней сети. Пользователям устройств Keenetic рекомендуется проверить доступность обновления KeeneticOS 5.0.6 в веб-интерфейсе своего роутера в разделе "Обновление" и установить его. Регулярное обновление прошивки - это базовый принцип кибергигиены, который помогает защитить сетевую инфраструктуру от известных уязвимостей и потенциальных атак.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1642
- https://support.keenetic.ru/giga/kn-1011/ru/9134-latest-preview-release.html
