Keenetic Product Security Advisory

Aussteller und Geltungsbereich: Die herausgebende Einheit dieser Richtlinie ist die Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Deutschland. Diese Richtlinie wird als die standardmäßig geltende Richtlinie für alle Keenetic‑Einheiten weltweit festgelegt.

Als Sicherheitsforscher oder Schwachstellenmelder ist Ihre Arbeit von entscheidender Bedeutung für die Stärkung der Sicherheit digitaler Produkte und Infrastrukturen. Wir haben diese Richtlinie zur koordinierten Offenlegung von Schwachstellen („CVD“) erstellt, um sicherzustellen, dass Ihre Feststellungen mit Respekt behandelt, verantwortungsvoll gehandhabt und zügig umgesetzt werden. Sie legt dar, wie Keenetic („Keenetic GmbH“, „wir“, „uns“) auf Ihre Meldungen reagiert, welche Zusicherungen Sie erwarten können und welche Schritte zu einer erfolgreichen Offenlegung führen.

Darüber hinaus möchten wir sicherstellen, dass Ihre Beiträge gewürdigt werden. Wir ermutigen Sie zur Teilnahme am Bug‑Bounty‑Programm von Keenetic, das finanzielle Belohnungen bietet, um unsere Wertschätzung auszudrücken und eine fortgesetzte Zusammenarbeit zu fördern.

Durch Ihre Teilnahme an diesem Prozess tragen Sie nicht nur zum Schutz von Nutzern und Organisationen bei, sondern werden Teil einer Gemeinschaft, in der Ihre Expertise anerkannt und belohnt wird. Gemeinsam können wir Produkte von Keenetic sicherer machen, Vertrauen aufbauen und ein stärkeres digitales Ökosystem schaffen.

Ⅰ. Geltungsbereich der CVD‑Richtlinie – Was wir als gültige Schwachstelle ansehen

Eine im Sinne dieser Richtlinie gültige Schwachstelle ist eine Schwäche, ein Fehler oder ein Sicherheitsproblem, die bzw. das unmittelbar eines der Produkte oder die Infrastruktur von Keenetic betrifft und ausnutzbar ist.

Damit eine Meldung als gültig gilt, dürfen die offengelegten Informationen nicht bereits öffentlich bekannt sein; so wird sichergestellt, dass der Bericht neues und umsetzbares Wissen in den Sicherheitsprozess einbringt. Außerdem gelten Berichte, die ausschließlich von automatisierten Tools oder Scans generiert wurden und nicht ausreichend dokumentiert sind, nicht als hinreichend, da es an den erforderlichen Nachweisen für eine sinnvolle Analyse und Behebung einer gültigen Schwachstelle fehlt. Jeder Bericht sollte idealerweise unterstützende Details enthalten. Dies hilft uns, uns auf echte Probleme zu konzentrieren und schneller zu reagieren.

Ⅱ. So melden Sie eine Schwachstelle

Wenn Sie eine gültige Schwachstelle entdecken, reichen Sie einen Bericht über die folgenden Kanäle ein.

E‑Mail: Sie können uns unter security@keenetic.com kontaktieren, um eine ordnungsgemäße Koordination und Nachverfolgung sicherzustellen.

Webformular: Wir stellen auf unserer Seite zur Schwachstellenoffenlegung ein sicheres Web‑Eingabeformular bereit: https://keenetic.com/security/anonymous-reporting-form. Dieses Formular unterstützt anonyme Meldungen. Sie müssen keine personenbezogenen Daten angeben, um einen Bericht einzureichen; beachten Sie jedoch, dass wir bei anonymer Meldung keine Rückfragen stellen können, was unsere Möglichkeit zur Untersuchung einschränken kann. Das Webformular ist in Englisch verfügbar und führt Sie durch die Angabe der Schlüsseldaten, die wir benötigen.

Security.txt: Wir führen auf unserer Website eine Datei keenetic.com/security.txt, die unsere Ansprechpartner und Präferenzen für die Schwachstellenoffenlegung auflistet. Meldende können dieser Datei aktuelle Informationen zur Kontaktaufnahme entnehmen.

Bitte fügen Sie bei der Einreichung eines Berichts möglichst viele technische Details bei. Das hilft uns, die Priorisierung vorzunehmen und das Problem schneller zu beheben. Wir empfehlen, folgende Angaben zu machen:

• Eine Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen. Was könnte ein Angreifer erreichen? Welche Aspekte der Vertraulichkeit/Integrität/Verfügbarkeit sind gefährdet? Welche Systeme der IT‑Infrastruktur von Keenetic könnten betroffen sein (z. B. Keenetic Corporate Systems, Betriebssystem, App, Fernüberwachung und Fernverwaltung, Cloud und Keenetic-Konto)?

• Spezifische Produktnamen, Versionen und Konfigurationen, die betroffen sind. (Für Websites oder Dienste bitte URLs oder IPs angeben; für Hardware oder Software bitte Modell‑ oder Versionsnummern.)

• Schritte zur Reproduktion des Problems – z. B. welche Befehle, Eingaben oder Aktionen die Schwachstelle auslösen. Screenshots oder Proof‑of‑Concept‑(PoC‑)Code sind sehr hilfreich.

• Sofern bekannt, Vorschläge zur Behebung oder Verweise auf Korrekturen (optional, aber willkommen).

• Ihre Kontaktdaten (Name oder Alias und eine sichere Kontaktmöglichkeit), wenn Sie eine Rückmeldung wünschen. Sie können anonym melden; dann können wir jedoch keine Klarstellungen einholen oder Statusaktualisierungen geben.

Freiwillige Angaben: Der Meldende kann freiwillig Kontaktdaten zur Koordination bereitstellen; es besteht jedoch keine Verpflichtung, personenbezogene Daten einzureichen. Sie können unser webbasiertes anonymes Meldeformular nutzen.

Ⅲ. Was wir von Ihnen erwarten – Verhaltenskodex

Wir belohnen Meldende und erkennen ihre Leistungen nur im Rahmen dieser CVD‑Richtlinie an, sofern sie bei der Entdeckung und Meldung von Schwachstellen hohen Standards an Integrität und verantwortungsvollem Handeln genügen. Daher tolerieren wir das folgende Verhalten nicht:

• Tests in guter Absicht: Meldende dürfen nur solche Tests durchführen, die nicht störend sind und die erforderlich sind, um die Existenz der Schwachstelle zu bestätigen (Proof of Concept). Sie dürfen nicht absichtlich Nutzerdaten kompromittieren, Dienste stören oder Systeme beschädigen.

• Keine Ausnutzung über Tests hinaus: Eine aktive Ausnutzung einer Schwachstelle über die initiale Proof‑of‑Concept‑Prüfung hinaus ist streng untersagt. Insbesondere dürfen Sie die Schwachstelle nicht dazu missbrauchen, Daten zu kompromittieren, Konfigurationen zu verändern, auf andere Systeme überzugreifen oder sich dauerhaft Zugang zu unseren Systemen zu verschaffen. Das Auslösen des Problems zum Nachweis seiner Existenz ist ausreichend – laden Sie beispielsweise nicht mehr Daten herunter als zur Demonstration des Fehlers notwendig. Treffen Sie auf sensible Informationen (z. B. personenbezogene Daten von Nutzern, proprietäres Material), beenden Sie die Tests umgehend und melden Sie dies uns; legen Sie diese Informationen nicht offen und bewahren Sie sie nicht auf.

• Kein Social Engineering oder physische Angriffe: Führen Sie keine Social‑Engineering‑Techniken (Phishing‑E-Mails, Telefon‑Vortäuschungen usw.) gegen unsere Mitarbeitenden oder Systeme durch und nehmen Sie keine physischen Sicherheitstests vor (z. B. den Versuch, unsere Büros oder Rechenzentren zu betreten). Diese Richtlinie beschränkt sich auf technische Schwachstellen in unseren Produkten und unserer Infrastruktur und schließt soziale und physische Angriffsvektoren aus.

• Keine Denial‑of‑Service‑ oder „Brute-Force-Angriffe“: Sehen Sie von DoS/DDoS‑Angriffen oder Tests ab, die die Verfügbarkeit unserer Dienste für Nutzer beeinträchtigen könnten, ebenso von „Brute-Force“‑Angriffen. Wir möchten jede Beeinträchtigung für unsere Kunden vermeiden.

• Keine Angriffe auf Dritte oder öffentliche Ziele: Zielen Sie nicht auf Schwachstellen in von uns genutzter Drittsoftware oder ‑diensten ab (bitte benachrichtigen Sie stattdessen die jeweiligen Anbieter). Testen Sie ebenso keine Systeme, die nicht in unserem Eigentum oder Betrieb stehen. Sollten Sie während Ihrer Forschung unbeabsichtigt auf Daten oder Systeme anderer Parteien zugreifen, benachrichtigen Sie uns und stellen Sie weitere Handlungen ein. Kompromittieren oder manipulieren Sie keine Daten Dritter während Ihrer Untersuchungen.

• Vertraulichkeit und Nutzung von Informationen: Meldende haben Details zu Schwachstellen vertraulich zu behandeln und dürfen Exploit‑Code oder technische Einzelheiten, die eine Ausnutzung ermöglichen würden, nicht öffentlich machen, verkaufen oder anderweitig verbreiten, bis Keenetic einen öffentlichen Hinweis veröffentlicht oder die Offenlegung anderweitig genehmigt hat. Dies beschränkt den Meldenden nicht darin, zuständige Behörden, ein nationales CSIRT oder die Strafverfolgung zu benachrichtigen, sofern dies gesetzlich erforderlich ist oder eine sofortige Offenlegung zur Verhinderung unmittelbarer Schäden notwendig ist.

• Frist zur Behebung: Keenetic ist eine angemessene, der Schwere entsprechende Frist einzuräumen, um die Schwachstelle zu untersuchen, zu beheben und Sicherheitsupdates bereitzustellen. Sollte Keenetic innerhalb einer angemessenen Frist keine Behebung oder glaubhafte Mitigation vornehmen, kann der Meldende ein nationales CSIRT oder eine zuständige Behörde benachrichtigen.

Sollte ein Meldender diesen Verhaltenskodex unbeabsichtigt teilweise verletzen, verpflichten wir uns, die entdeckte Schwachstelle dennoch nach bestem Vermögen in gutem Glauben zu behandeln; ein solcher Meldender erhält jedoch möglicherweise keine Prämie.

Ⅳ. Unser Versprechen an Sie bei Meldung einer Schwachstelle

Alle eingehenden Berichte werden nach bestem Vermögen behandelt. Daher sollte bei der Meldung einer Schwachstelle zumindest eine gültige Kontaktmöglichkeit angegeben werden. Selbstverständlich können Sie eine Schwachstelle auch anonym melden.

1. Antwort

Nachdem Sie uns einen Schwachstellenbericht übermittelt haben, informieren wir Sie über den Eingang Ihres Berichts. Dies erfolgt durch eine persönliche Antwort unseres Sicherheitsteams. Benötigen wir Klarstellungen oder zusätzliche Informationen, fragen wir so bald wie möglich nach. Bitte beachten Sie, dass wir bei anonymen Einreichungen naturgemäß nicht antworten können, die Untersuchung jedoch fortsetzen. Für die Übermittlung vertraulicher Informationen benötigen wir mindestens Ihre E‑Mail‑Adresse, um unseren PGP‑Verschlüsselungsschlüssel nutzen zu können, der unter https://keenetic.com/de/security/keenetic-security-pgp-public-key.asc verfügbar ist.

Nach weitergehender Analyse des Berichts erhalten Sie von uns eine Rückmeldung, ob wir die gemeldete Schwachstelle bestätigen oder ablehnen, sachdienliche Nachfragen zum Verständnis der gemeldeten Schwachstelle oder eine Erläuterung, weshalb die Untersuchung länger als erwartet dauert.

2. Vertrauliche Kommunikation

Wir stellen im gesetzlich zulässigen Umfang sicher, dass jeder eingehende Schwachstellenbericht vertraulich behandelt wird und Ihre personenbezogenen Daten ohne Ihre ausdrückliche Einwilligung nicht an Dritte weitergegeben werden.

Für die öffentliche Bekanntgabe der validierten und verifizierten Schwachstelle erforderliche Informationen werden in dem Umfang veröffentlicht, in dem wir hierzu gesetzlich verpflichtet sind.

3. Anonyme Meldung (optional)

Sie können unser webbasiertes anonymes Meldeformular verwenden.

Da wir Ihren Wunsch nach Anonymität respektieren, beachten Sie bitte, dass anonyme Meldungen aufgrund fehlender Möglichkeit zu technischen oder inhaltlichen Rückfragen, insbesondere bei komplexen Sachverhalten, nur eingeschränkt oder möglicherweise gar nicht bearbeitet werden können.

4. Respektvolle und offene Kommunikation

Sämtliche Kommunikation bleibt professionell, und wir werden Sie mit Respekt behandeln. Dasselbe erwarten wir umgekehrt – jegliche Diskriminierung, Belästigung oder Respektlosigkeit in der Kommunikation von einer der beiden Seiten tolerieren wir nicht.

Unser Sicherheitsteam kann sich mit Fragen melden, um das Problem besser zu verstehen, oder um reproduzierbare technische Artefakte und Anleitungen zu erbitten, damit die Schwachstelle nachgestellt und behoben werden kann. Sie können jederzeit nach Aktualisierungen fragen; wir betrachten Nachfragen als willkommenes Zeichen Ihres Interesses und nicht als Störung.

Ⅴ. Koordinierung und Abschluss der Offenlegung

Validierte und verifizierte Schwachstellen werden durch Keenetic öffentlich bekannt gemacht. Die öffentliche Mitteilung umfasst:

• Eine Beschreibung der Schwachstelle.

• Informationen, die es Nutzern ermöglichen, betroffene Produkte/Versionen zu identifizieren.

• Die Auswirkung und den Schweregrad.

• Klare Anweisungen zur Anwendung von Abhilfemaßnahmen oder eines Patches.

Der koordinierte Prozess zur Offenlegung einer Schwachstelle gilt als abgeschlossen, wenn die Schwachstelle durch geeignete Maßnahmen mitigiert oder behoben, wenn sie öffentlich bekannt gemacht wurde, oder wenn sich die Hinweise des Schwachstellenberichts als unbegründet erweisen und der Bericht daher nur eingeschränkt oder nicht weiter bearbeitet werden kann.

Wir betrachten einen CVD‑Prozess als abgeschlossen, wenn einer der folgenden Fälle eintritt:

• es wurde eine Fehlerbehebung oder Mitigation bereitgestellt und ein öffentlicher Sicherheitshinweis veröffentlicht; oder

• das gemeldete Problem wurde nicht als Schwachstelle eingestuft (False Positive oder außerhalb des Geltungsbereichs) und dies wurde dem Meldenden mitgeteilt; oder

• wir können das Problem nicht reproduzieren oder benötigen weitere Informationen und der Meldende reagiert über einen längeren Zeitraum (in der Regel 30 Tage) nicht; in diesem Fall schließen wir den Vorgang bis zum Eingang neuer Informationen ab.

Wir teilen dem Meldenden das Ende des CVD‑Prozesses mit, es sei denn, die Schwachstelle wurde anonym gemeldet.

Ⅵ. Prämien

Wir schätzen die Bemühungen von Meldenden und anderen, die uns Schwachstellen vertraulich melden, sehr. Als Dank betreiben wir ein Bug‑Bounty‑Programm. Externe Sicherheitsforschende, die Schwachstellen verantwortungsvoll gemäß dieser Richtlinie melden, können als Zeichen der Anerkennung eine finanzielle Prämie erhalten. Die Höhe einer etwaigen Prämie wird individuell anhand der Schwere der gemeldeten Schwachstelle festgelegt, wie in unseren Bug‑Bounty‑Geschäftsbedingungen beschrieben.

Ⅶ. Rechtlicher Safe Harbor

Durch die Einhaltung dieser CVD‑Richtlinie erkennt Keenetic an, dass der Meldende in „gutem Glauben“ forscht, und wird im Zusammenhang mit den Forschungstätigkeiten keine strafrechtlichen Schritte gegen den Meldenden einleiten.

Keenetic („Keenetic“, „wir“, „uns“) betreibt ein Bug‑Bounty‑Programm („Programm“). Das Programm unterliegt diesen allgemeinen Bug-Bounty‑Bedingungen sowie der Richtlinie zur koordinierten Offenlegung von Schwachstellen („CVD‑Richtlinie“, Coordinated Vulnerability Disclosure Policy). Zusammen bilden diese Dokumente die verbindlichen rechtlichen Bedingungen des Programms (die „Bedingungen“).

1. Übersicht über das Programm

(1) Ziel des Programms ist es, die Sicherheit unserer Produkte zu verbessern und Benutzerdaten durch Nutzung externer Expertise im Einklang mit unseren Bedingungen zu schützen. Durch Einreichen eines Schwachstellenberichts oder sonstige Teilnahme erklären Sie Ihr Einverständnis mit den Bedingungen.

(2) Eine im Sinne der Bedingungen gültige Schwachstelle ist eine Schwäche, ein Fehler oder ein Sicherheitsproblem, das unmittelbar eines der Produkte bzw. die Infrastruktur von Keenetic betrifft und ausnutzbar ist. Die Höhe einer etwaigen Prämie wird individuell anhand der Schwere der gemeldeten Schwachstelle festgelegt.

(3) Die von Keenetic getroffenen Entscheidungen in Bezug auf Bug‑Bounties sind endgültig und verbindlich. Keenetic kann dieses Programm jederzeit und aus beliebigem Grund ändern oder beenden.

2. Safe Harbor

(1) Wir betrachten Aktivitäten, die im Einklang mit unseren Bedingungen durchgeführt werden, als autorisiert; dies bedeutet, dass wir wegen Ihrer in guter Absicht vorgenommenen Handlungen im Rahmen des Programms keine rechtlichen Schritte (zivil‑ oder strafrechtlich) gegen Sie einleiten werden.

(2) Diese Zusicherung gilt ausdrücklich nur, sofern Sie die Bedingungen des Programms einhalten – wir können Sie nicht vor Rechtsfolgen bewahren, die von Dritten oder Behörden für Handlungen außerhalb unseres Zuständigkeitsbereichs ausgehen. Es wird erwartet, dass Sie stets die geltenden Gesetze einhalten und Handlungen unterlassen, die über das hier Gestattete hinausgehen. Im Zweifel, ob eine Handlung erlaubt ist, halten Sie bitte inne und fragen Sie uns zunächst (siehe Kontaktangaben unter „Verfahren zur Meldung einer Schwachstelle und Verhaltenskodex“ der Keenetic Richtlinie zur koordinierten Offenlegung von Schwachstellen).

3. Geltungsbereich des Programms

(1) Das Programm umfasst die folgenden Produkte, Dienste und Websites unserer Organisation („Systeme im Geltungsbereich“):

• Web-Apps: z. B. unsere offizielle Website und Subdomains, Kundenportale und Onlinedienste.
• Mobile/Desktop-Apps: Die neuesten Versionen unserer Apps (Android, iOS, Windows), die über offizielle App Stores verteilt werden.
• APIs und Infrastruktur: Öffentlich dokumentierte APIs und Backend‑Dienste in unserem Eigentum.
• Hardware/IoT‑Geräte: Sämtliche Hardwareprodukte mit ihrer Firmware.

(2) Nur Schwachstellen, die diese Systeme im Geltungsbereich unmittelbar betreffen, sind prämienfähig. Im Zweifel, ob ein System in den Geltungsbereich fällt, fragen Sie bitte vor Tests nach. Wir können den Geltungsbereich von Zeit zu Zeit aktualisieren (z. B. Hinzufügen neuer Ziele oder vorübergehendes Aussetzen bestimmter Systeme) – solche Änderungen werden auf unserer Programm-Webseite vermerkt.

(3) Zur Klarstellung: Die folgenden Systeme fallen nicht in den Geltungsbereich; Tests an ihnen sind nicht autorisiert („Systeme außerhalb des Geltungsbereichs“):

• Dienste oder Infrastruktur Dritter: Schwachstellen auf von uns genutzten Drittplattformen (Cloud‑Provider, SaaS‑Tools usw.) sind den jeweiligen Anbietern, nicht uns, zu melden. Angriffe oder Scans gegen unsere Anbieter oder Partner sind unzulässig.
• Nicht in unserem Eigentum stehende Assets: Jede Website, App oder jedes System, die bzw. das nicht ausdrücklich als im Geltungsbereich aufgeführt ist (einschließlich Domains, die nicht unserem Unternehmen gehören).
• Denial of Service: Jegliche Angriffe, die den Dienst stören (DoS/DDoS), oder massenhaftes Brute‑Forcing von Anfragen oder Anmeldeversuchen.
• Social Engineering und physische Angriffe: Die Manipulation unserer Mitarbeitenden oder Nutzer (z. B. per Phishing, Vishing) oder Versuche, sich physischen Zugang zu Büros zu verschaffen, sind strikt untersagt. Das Programm beschränkt sich auf technische Schwachstellen.
• Verletzungen des Datenschutzes: Zugriff auf, Kopieren oder Veränderung von Daten, die nicht Ihnen gehören. Ein Beispiel ist das Extrahieren personenbezogener Informationen anderer Nutzer oder proprietärer Daten außerhalb des Geltungsbereichs, selbst wenn dies theoretisch durch eine Schwachstelle möglich ist. Wenn Sie während der Tests auf Daten anderer stoßen, beenden Sie diese Tests umgehend und melden Sie das Problem; untersuchen Sie diese Daten nicht weiter.

4. Teilnahmeberechtigung für das Programm

(1) Dieses Programm richtet sich an externe Sicherheitsforschende. Um teilnehmen zu können und eine Prämie zu erhalten, müssen Sie sämtliche der folgenden Teilnahmevoraussetzungen erfüllen

a. Mindestalter
Sie müssen mindestens 18 Jahre alt sein. Personen, die 14 Jahre oder älter, aber unter 18 Jahren sind (oder unter der Volljährigkeitsgrenze in Ihrem Land), benötigen die Zustimmung ihres Elternteils oder gesetzlichen Vertreters zur Teilnahme. In keinem Fall sind Teilnehmer unter 14 Jahren zugelassen.

b. Teilnahme als Einzelperson oder mit Zustimmung der Organisation
Sie können in eigener Person oder im Namen Ihres Arbeitgebers teilnehmen. Wenn Sie Sicherheitsprobleme im Rahmen Ihres Beschäftigungsverhältnisses melden oder Ressourcen Ihres Arbeitgebers nutzen, stellen Sie sicher, dass Ihr Arbeitgeber die Teilnahme an Bug‑Bounty‑Programmen gestattet. Es obliegt Ihrer Verantwortung, Ihre Arbeitsverträge oder Richtlinien zu prüfen.

c. Keine aktuellen oder kürzlich Beschäftigtde/Auftragnehmer
Mitarbeitende von Keenetic oder dessen Tochtergesellschaften sind nicht teilnahmeberechtigt. Dies gilt auch für Personen, die unser Unternehmen in den letzten 6 Monaten verlassen haben, sowie für Personen, die derzeit als Auftragnehmer, Berater oder Praktikanten mit Zugang zu unseren internen Systemen für uns tätig sind. Unmittelbare Familienangehörige (Ehegatte, Elternteil, Kind, Geschwister) unserer Mitarbeitenden sind ebenfalls nicht teilnahmeberechtigt. Dies gewährleistet Fairness und vermeidet Interessenkonflikte.

d. Öffentlicher Sektor
Wenn Sie im öffentlichen Sektor beschäftigt sind (z. B. Regierung, Strafverfolgung, Militär oder Bildungsbereich), dürfen Sie nur in persönlicher Eigenschaft und nicht im Rahmen Ihrer amtlichen Aufgaben teilnehmen. Es liegt in Ihrer Verantwortung sicherzustellen, dass die Annahme einer Prämie von uns keine auf Sie anwendbaren Gesetze oder Ethikregeln verletzt.

e. Mehrfachmeldungen und Duplikate
Wird dieselbe Schwachstelle von mehreren Forschenden gemeldet, ist nur der erste bei uns eingegangene Bericht prämienfähig, vorausgesetzt, unsere Bedingungen werden erfüllt. Enthält eine spätere Meldung neue Informationen, die uns nicht bekannt waren, können wir nach unserem Ermessen eine Teilprämie an den späteren Meldenden vergeben. Bitte beachten Sie, dass wir möglicherweise bereits dabei sind, ein Problem zu beheben, wenn Sie es melden; in diesem Fall informieren wir Sie, und ein solcher Fall ist möglicherweise nicht prämienfähig, wenn wir das Problem als bekanntes Problem einstufen.

(2) Wir behalten uns das Recht vor, jeden Teilnehmer zu disqualifizieren, der diese Kriterien nicht erfüllt oder der den Zweck dieser Regeln verletzt. Prämien werden nicht an Personen gezahlt, die auf einer Sanktionsliste stehen oder die wir rechtlich nicht entschädigen dürfen. Wenn Sie Fragen zur Teilnahmeberechtigung haben oder Klarstellungen benötigen, kontaktieren Sie uns bitte.

5. Verfahren zur Meldung einer Schwachstelle und Verhaltenskodex

(1) Wie in der CVD‑Richtlinie ausführlich dargelegt, stellt Keenetic mehrere sichere Kanäle zur Meldung gültiger Schwachstellen bereit, darunter

• E‑Mail - security@keenetic.com,
• ein Web‑Eingabeformular unter https://keenetic.com/security/anonymous-reporting-form, und
• eine security.txt‑Datei auf unserer Website.

(2) Berichte sollten umfassende technische Angaben enthalten, wie eine Beschreibung der Schwachstelle, ihre potenziellen Auswirkungen, betroffene Systeme, Produktversionen und Schritte zur Reproduktion, nach Möglichkeit ergänzt durch Proof‑of‑Concept‑Material.

(3) Anonyme Meldungen sind zulässig; dies kann jedoch die Anschlusskommunikation einschränken. Von allen Meldenden wird erwartet, dass sie unseren Verhaltenskodex gemäß der CVD‑Richtlinie einhalten, der u. a. störende Tests, Ausnutzung über den Proof‑of‑Concept hinaus, Social Engineering, physische Angriffe, Denial‑of‑Service, Brute‑Force‑Versuche und das Angreifen von Drittsystemen untersagt.

6. Prämien

(1) Das Programm gewährt Prämien für relevante, validierte Schwachstellenberichte. Unser Ziel ist es, Sicherheitsforschende fair anhand der Schwere und der Auswirkungen ihrer Funde anzuerkennen und zu belohnen und dabei transparent zu machen, wie Prämien bestimmt werden.

(2) Wir klassifizieren gemeldete Schwachstellen anhand ihrer Auswirkungen und Ausnutzbarkeit in die folgenden Kategorien: niedrig, mittel, hoch und kritisch. Für jede Kategorie gibt es typische Prämienbereiche (in US‑Dollar). Eine typische Prämienstruktur kann Folgendes umfassen:

(3) Die konkrete Prämienhöhe im Einzelfall wird nach alleinigem Ermessen von Keenetic festgelegt, nachdem unser Sicherheitsteam die gemeldete Schwachstelle validiert und ihre Schwere bewertet hat. Wir berücksichtigen Faktoren wie Klassifizierung und Sensitivität sowie Anzahl der betroffenen Systeme/Daten, Einfachheit der Ausnutzung und das Gesamtrisiko für unsere Nutzer und unsere Organisation.

(4) In folgenden Fällen wird keine Prämie gezahlt:
a. Fehlende Secure/HTTPOnly‑Flags bei nicht sensiblen Cookies;
b. Doppelte Meldungen von Sicherheitsproblemen, einschließlich solcher, die bereits intern identifiziert wurden;
c. Automatisierte Scan‑Angriffe;
d. Distributed‑Denial‑of‑Service‑Angriffe und Denial‑of‑Service‑Angriffe;
e. UI‑, UX‑Fehler und Rechtschreibfehler, Usability‑Probleme;
f. Verstöße gegen Lizenzen oder sonstige Beschränkungen, die für das Produkt eines Anbieters gelten;
g. Schwachstellen, die auf Malware beruhen;
h. Theoretische Sicherheitsprobleme ohne realistische Angriffsszenarien oder Angriffsflächen oder Probleme, deren Ausnutzung komplexe Endnutzerinteraktionen erfordern würde;
i. Schwachstellen mit einer Auswirkung unterhalb P1;
j. Das bloße Auffinden eines in Benutzung befindlichen Dienstes, dessen Version bekannte Schwachstellen enthält (z. B. eine bestimmte Version des Linux‑Kernels oder von OpenSSL), ohne Nachweis eines Eindringens, einer Informationsgewinnung oder Dienstunterbrechung unter Ausnutzung dieser Schwachstelle;
k. Das Ausnutzen der Ergebnisse einer Schwachstelle, um weitere Exploits zu konstruieren und damit normalerweise nicht zugängliche Funktionalitäten zu testen, z. B. die Nutzung geleakter personenbezogener Daten, sofern kein Nachweis vorliegt, dass eine Schwachstelle in weitergehendem Maße ausnutzbar ist;
l. Schwachstellen in Software und Diensten Dritter.

(4) Verletzt ein Teilnehmer eine Bestimmung der Bedingungen, kann Keenetic jede Prämie, die im Hinblick auf die betreffende Schwachstelle gezahlt wurde oder zahlbar wäre, kürzen, einbehalten oder die Rückzahlung ganz oder teilweise verlangen. Das Maß einer Kürzung ist verhältnismäßig zur Schwere des Verstoßes und kann Faktoren wie Art des Verstoßes, Grad des Verschuldens sowie jeden tatsächlichen oder potenziellen Schaden berücksichtigen.

7. Zahlungen

(1) Um eine Zahlung zu erhalten, müssen Sie uns die erforderlichen Angaben bereitstellen (z. B. Zahlungsweg, ggf. Steuerinformationen). Prämien werden in der Regel in US‑Dollar ($) oder, wenn von uns angegeben, in einer anderen Währung wie EUR gezahlt – dies klären wir im Auszeichnungsverfahren. Häufig können wir eine bevorzugte Zahlungswährung zum Wechselkurs zum Zeitpunkt der Zahlung berücksichtigen.

(2) Bitte beachten Sie, dass Prämien grundsätzlich als zu versteuernde Einkünfte gelten. Sie sind allein dafür verantwortlich, in Ihrer Jurisdiktion anfallende Steuern auf die Prämie zu entrichten. Wir können Sie vor der Zahlung um das Ausfüllen bestimmter Steuerformulare bitten (insbesondere, wenn Sie sich in einem anderen Land befinden). Wenn Sie nicht in der Lage oder nicht bereit sind, die erforderlichen Unterlagen zu vervollständigen, kann dies die Zahlung verzögern oder zum Verfall der Zahlung führen.

8. Urheberrecht

(1) Sie behalten sämtliche Rechte an geistigem Eigentum in Bezug auf Ihre Einreichung. Durch die Übermittlung eines Schwachstellenberichts räumen Sie uns jedoch eine nicht ausschließliche, zeitlich unbeschränkte, unwiderrufliche, weltweite, gebührenfreie Lizenz ein, die Informationen in Ihrem Bericht zum Zweck der Behebung der Schwachstelle und der Verbesserung der Sicherheit zu nutzen, zu bearbeiten, zu testen, abgeleitete Werke davon zu erstellen, zu teilen und zu veröffentlichen.

(2) Beispielsweise können wir den eingereichten Proof‑of‑Concept‑Code zur Reproduktion des Problems verwenden, Details bei Bedarf an einen Drittanbieter weitergeben (um eine Korrektur in einer Komponente zu koordinieren) und relevante Einzelheiten in unseren öffentlichen Hinweisen veröffentlichen. Sie stimmen ferner zu, dass sämtliche von Ihnen eingereichten Materialien entweder Ihr eigenes Werk sind oder dass Sie das rechtliche Recht besitzen, sie bereitzustellen.

9. Beschränkungen der Offenlegung

(1) Wir werden die von Ihnen gemeldete Schwachstelle prüfen und uns bemühen, sie so schnell wie möglich zu beheben. Wenn Sie Details Ihrer Funde veröffentlichen möchten, kontaktieren Sie uns bitte vorab zur Genehmigung. Für 30 Tage nach der Behebung der Schwachstelle verlangen wir, dass Sie detaillierten Proof‑of‑Concept‑Exploit‑Code sowie alle weiteren Informationen zurückhalten, die Angriffe auf unsere digitalen Produkte erleichtern könnten. Keenetic wird Sie benachrichtigen, sobald die in Ihrer Meldung enthaltene Schwachstelle behoben wurde.

(2) Ein Verstoß gegen diesen Abschnitt kann Sie zur Rückzahlung für die Schwachstelle gezahlter Prämien verpflichten und zu einem Ausschluss von einer künftigen Teilnahme am Programm führen.

10. Haftung

(1) Unsere Haftung für Verletzungen der Bedingungen sowie aus unerlaubter Handlung beschränkt sich auf Vorsatz und grobe Fahrlässigkeit.

(2) Die Haftungsbeschränkung nach Absatz 1 gilt nicht für

a. Verletzungen des Lebens, des Körpers und der Gesundheit des Teilnehmers oder

b. Ansprüche des Teilnehmers wegen der Verletzung wesentlicher Vertragspflichten, d. h. solcher Pflichten, die sich aus der Natur der Bedingungen ergeben und deren Verletzung die Erreichung des Zwecks des Programms gefährdet. In diesem Fall ist unsere Haftung jedoch auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.

In diesen Fällen haften wir für jede Form von Verschulden.

(3) Ferner gilt die Haftungsbeschränkung aus Absatz 1 nicht, wenn ein Mangel arglistig verschwiegen wurde.

(4) Soweit eine Haftung auf Schadensersatz uns gegenüber ausgeschlossen ist, gilt dies auch hinsichtlich der persönlichen Schadensersatzhaftung unserer Mitarbeitenden, Vertreter und Erfüllungsgehilfen.

11. Sonstiges

(1) Sollten einzelne Bestimmungen der Bedingungen ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Die Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland und sind nach diesem auszulegen. Die gesetzlichen Vorschriften zur Beschränkung der Rechtswahl und zur Anwendbarkeit zwingender Bestimmungen, insbesondere derjenigen des Staates, in dem der Teilnehmer als Verbraucher seinen gewöhnlichen Aufenthalt hat, bleiben unberührt.

(3) Ist der Teilnehmer Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich‑rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus den Bedingungen Frankfurt am Main, Deutschland.

Sicherheitshinweis-ID: KEN-PSA-2026-WP01
Schweregrad: Hoch
Status: Behoben in KeeneticOS 5.0.4 und späteren Versionen

Zusammenfassung

In KeeneticOS wurde ein Sicherheitsproblem identifiziert, das es einem Benutzer mit Nur‑Lese‑Zugriff ermöglicht, interne Systeminformationen zu extrahieren und diese zu nutzen, um Rechte bis auf Administratorebene zu erhöhen. Dieses Problem setzt eine vorherige authentifizierte Anmeldung als Nur‑Lese‑Benutzer voraus, kann jedoch aus der Ferne ausgenutzt werden.

Betroffene Produkte / Konfigurationen

Produkte: Keenetic‑Router, auf denen KeeneticOS in einer Version vor 5.0.4 ausgeführt wird.

Konfigurationsvoraussetzung: Der Angreifer muss bereits über gültige Nur‑Lese‑Anmeldedaten für die Verwaltungsoberfläche des Geräts verfügen.

Details zur Sicherheitslücke

Die Schwachstelle beruht auf einer unzureichenden Trennung sensibler Konfigurationsdaten, die für Nur‑Lese‑Konten zugänglich sind. Ein mit Nur‑Lese‑Rechten authentifizierter Benutzer kann bestimmte interne Parameter vom Gerät abrufen. Wenn diese Parameter kombiniert werden, ermöglichen sie dem Angreifer, seine Privilegien zu eskalieren und administrativen Zugriff auf die Verwaltungsoberfläche des Routers zu erhalten.

Schweregrad (CVSS v3.1 — Analystenschätzung)

8.8 (Hoch) — AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Begründung: Der Angriff erfordert lediglich einen authentifizierten Zugriff mit niedrigen Rechten, ist aus der Ferne ausnutzbar und resultiert in einer vollständigen Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit.

Problembehebung & Härtung

Upgrade: Aktualisieren Sie alle Geräte, auf denen Versionen vor 5.0 ausgeführt werden, auf KeeneticOS 5.0.4 oder höher. Verwenden Sie die für Ihr Modell verfügbare neueste Betriebssystemversion.

Zwischenzeitliche Abhilfemaßnahme: Vermeiden Sie das Erstellen oder Zuweisen von Nur‑Lese‑Benutzerkonten, bis das Update eingespielt wurde.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2025-WP01
Schweregrad: Hoch
CWE: CWE-521 (Schwache Passwortanforderungen)
Status: Behoben in KeeneticOS 4.3 und späteren Versionen

Zusammenfassung

Vor KeeneticOS 4.3 konnten Benutzer schwache Admin-Passwörter festlegen und das Webinterface des Routers dennoch für das Internet öffnen, was ein hohes Risiko einer Kompromittierung darstellte. Jüngste interne Untersuchungen haben ergeben, dass diese Sicherheitslücke von automatisierten Passwort-Scannern auf Geräten mit den gebräuchlichsten schwachen Passwörtern ausgenutzt wird. Das neueste KeeneticOS 4.3 erzwingt stärkere Passwörter und blockiert den öffentlichen Webzugriff, wenn ein bekanntes kompromittiertes Passwort festgelegt ist.

Wir haben festgestellt, dass eine beträchtliche Anzahl von Benutzern weiterhin schwache oder leicht zu erratende Passwörter verwendet. Dies führt zu erheblichen Sicherheitsrisiken, einschließlich unbefugtem Zugriff, Datenschutzverletzungen und potenziellen Dienstunterbrechungen. Der Schutz der Benutzerdaten hat für uns höchste Priorität, und die Behebung dieser Schwachstellen ist unerlässlich.

Um die allgemeine Sicherheit zu erhöhen und den fortgesetzten Schutz der Benutzerdaten zu gewährleisten, wird gemäß Artikel 6 der Endbenutzer-Lizenzvereinbarung und in Übereinstimmung mit dem EU Cyber Resilience Act (CRA) ein obligatorisches Software-Update für Geräte bereitgestellt, auf denen eine KeeneticOS-Version vor 4.3 ausgeführt wird. Dieses Update enthält verbesserte Sicherheitsmaßnahmen, Tools zur Unterstützung der Erstellung sichererer Passwörter sowie kritische Fehlerbehebungen, die die Systemstabilität verbessern und Benutzerkonten schützen.

Wir entschuldigen uns aufrichtig für alle durch dieses Update verursachten Unannehmlichkeiten. Um Störungen zu minimieren, versuchen wir, es außerhalb der üblichen Geschäftszeiten zu implementieren. Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich bitte an unser Support-Team.

Betroffene Produkte / Konfigurationen

Produkte: Keenetic-Router, auf denen Versionen von KeeneticOS vor 4.3 ausgeführt werden.

Konfigurationsvoraussetzung: Das Webinterface des Routers muss im Internet zugänglich sein und der Remote-Webzugriff muss aktiviert sein.

Details zur Sicherheitslücke

Problem: Schwache administrative Passwörter werden akzeptiert, während auf die Weboberfläche über das Internet zugegriffen werden kann.

Auswirkung: Vollständige administrative Übernahme des Geräts, die Konfigurationsänderungen, das Abfangde/Umleiten von Datenverkehr, die Aktivierung zusätzlicher Dienste und ein mögliches weiteres Eindringen in das interne Netzwerk.

Vektor: Remote (Internet); keine vorherige Authentifizierung oder Benutzerinteraktion erforderlich.

Begünstigende Faktoren: Offenlegung der Admin-Oberfläche im Internet und schwache, leicht zu erratende Anmeldeinformationen.

Schweregrad (CVSS v3.1 — Analystenschätzung)

8.8 (Hoch) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Begründung: Remote-Zugriffspfad ohne Authentifizierung zur Administratorkontrolle, wenn schwache Passwörter zulässig sind; die Auswirkung auf die Verfügbarkeit ist gegenüber Vertraulichkeit/Integrität zweitrangig.

Problembehebung & Härtung

Plattform-Steuerungen: Das Gerät prüft automatisch, ob das Administrator-Passwort auf der Liste der am häufigsten verwendeten schwachen Passwörter steht. In diesem Fall blockiert es den Fernzugriff auf das Webinterface und die Ausführung von benutzerdefinierter Software, und das Passwort kann nur über das lokale Netzwerk geändert werden. Bei der Eingabe eines neuen Passworts erzwingt das Gerät die Passwortstärke gemäß den Empfehlungen von NIST SP 800-63B.

Upgrade: Aktualisieren Sie alle Geräte, auf denen Versionen vor 4.3 ausgeführt werden, auf KeeneticOS 4.3 oder neuer. Verwenden Sie das neueste für Ihr Modell verfügbare Betriebssystem.

Admin-Anmeldeinformationen: Verwenden Sie lange, einzigartige Passwörter. Wir empfehlen mindestens 15 Zeichen oder eine generierte Passphrase.

Angriffsfläche verringern: Wenn der Remote-Webzugriff nicht unbedingt erforderlich ist, deaktivieren Sie ihn. Verwenden Sie Firewall-Regeln, um den Zugriff auf das Webinterface des Geräts nur von bestimmten IP-Adressen aus zu erlauben.

Auf Angriffe überwachen: Achten Sie auf wiederholt fehlgeschlagene Anmeldungen oder Kontosperrungen, da dies ein Hinweis auf einen Brute-Force-Angriff sein könnte.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2025-WA01
Schweregrad: Mittel
CVE: CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
Status: Behoben in KeeneticOS 4.3 und späteren Versionen

Keenetic hat Berichte über drei schwerwiegende Sicherheitsschwachstellen erhalten und verifiziert, die alle Versionen von KeeneticOS vor 4.3 betreffen. Ein unabhängiger Sicherheitsforscher hat diese Schwachstellen verantwortungsvoll offengelegt, die inzwischen in der neuesten stabilen Version behoben wurden.

Die Schwachstellen werden als CVE-2025-56007, CVE-2025-56008, CVE-2025-56009 identifiziert.

CVE-2025-56007 – CRLF-Injection am /auth-API-Endpunkt:
Eine CRLF-Injection-Schwachstelle im /auth-API-Endpunkt könnte es Remote-Angreifern ermöglichen, HTTP-Header zu manipulieren und nicht autorisierte Befehle einzuschleusen. Angreifer könnten neue administrative Benutzer hinzufügen und die Kontrolle über das Gerät erlangen, indem sie ein Opfer dazu bringen, eine speziell gestaltete Seite zu öffnen.

CVE-2025-56008 – Cross-Site Scripting (XSS) auf der Seite „WLAN-Provider“:
Angreifer könnten eine XSS-Schwachstelle auf der Konfigurationsseite „WLAN-Provider“ ausnutzen, indem sie eine speziell gestaltete SSID mit einem bösartigen Skript senden. Wenn der Benutzer über das Webinterface nach verfügbaren Netzwerken sucht, wird das Skript im Kontext der Administratorsitzung ausgeführt, sodass der Angreifer die Kontrolle über das Gerät erlangen kann.

CVE-2025-56009 – Cross-Site Request Forgery (CSRF) am /rci-API-Endpunkt:
Eine CSRF-Schwachstelle im /rci-API-Endpunkt könnte es Angreifern ermöglichen, nicht autorisierte Aktionen im Namen eines authentifizierten Benutzers durchzuführen. Indem sie das Opfer dazu verleiten, eine bösartige Seite zu besuchen, könnten Angreifer unbemerkt Benutzer mit vollen Berechtigungen hinzufügen und das Gerät kompromittieren.

Potenziell betroffene Geräte:
Alle Keenetic-Modelle mit dem Index „KN“, die ab 2017 veröffentlicht wurden.

Schweregrad:
Der Schweregrad wird als mittel eingestuft, da der Benutzer während des Angriffs im Webinterface des Routers angemeldet sein muss. Ein Angriff auf die Seite „WLAN-Provider“ erfordert zudem, dass sich der Angreifer in der Nähe des Geräts befindet.

Betroffene Firmware-Versionen:
Alle KeeneticOS-Versionen bis 4.2.

Lösung:
Allen Benutzern wird dringend empfohlen, ihre Keenetic-Geräte auf die neueste stabile Firmware-Version, KeeneticOS 4.3, zu aktualisieren, die Patches für diese Schwachstellen enthält. Firmware-Updates können über das Webinterface des Geräts oder die Keenetic-App durchgeführt werden.

Danksagung:
Wir danken dem unabhängigen Forscher für die verantwortungsvolle Offenlegung und seinen Beitrag zur Verbesserung der Sicherheit von Keenetic-Produkten.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2025-WD01
Schweregrad: Mittel
CVE: CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
Status: Behoben in KeeneticOS 4.3.2 und späteren Versionen

Keenetic ist sich einer Schwachstelle bezüglich „Arbitrary Packet Injection“ (beliebige Paketinjektion) im WLAN AP-Treiber bewusst, die vom Chipsatzhersteller Mediatek, Inc. gemeldet wurde. Aufgrund einer fehlenden Berechtigungsprüfung besteht die Möglichkeit, ein beliebiges Paket einzuschleusen. Dies könnte zu einer Remote-Eskalation von Berechtigungen führen, ohne dass zusätzliche Ausführungsrechte erforderlich sind. Für die Ausnutzung ist keine Benutzerinteraktion erforderlich.

Der Chipsatzhersteller meldete außerdem weitere Schwachstellen, wie z. B. einen möglichen Out-of-Bounds-Schreibzugriff aufgrund einer fehlerhaften Grenzwertprüfung. Dies könnte zur Remote-Codeausführung führen, ohne dass zusätzliche Ausführungsrechte erforderlich sind.

Die Schwachstellen werden als CVE-2025-20674, CVE-2025-20685, CVE-2025-20686 identifiziert.

Potenziell betroffene Geräte:
Alle Keenetic-Modelle mit dem Index „KN“, die ab 2017 veröffentlicht wurden, basieren auf WLAN-Chipsätzen von Mediatek: MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Betroffene Firmware-Versionen:
Alle KeeneticOS-Versionen bis einschließlich 4.3.1

Schweregrad:
Der Schweregrad wird als mittel eingestuft, da sich der Angreifer in unmittelbarer physischer Nähe zum Zielgerät befinden muss.

Lösung:
KeeneticOS 4.3.2 enthält die notwendigen Korrekturen zur Behebung dieser Schwachstellen. Dieses Update gilt für alle betroffenen Keenetic-Modelle. Wir empfehlen den Nutzern dringend, ihre Geräte auf die neueste online verfügbare KeeneticOS-Version zu aktualisieren. Keenetic hat bereits damit begonnen, automatische Updates für Geräte auszurollen, bei denen die Auto-Update-Option aktiviert ist.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2025-CS01
Schweregrad: Mittel
Status: Behoben

Angesichts neu entdeckter Informationen informiert Keenetic Limited Nutzer der Keenetic-App, die sich vor dem 16. März 2023 registriert haben, darüber, dass ein Teil ihrer Daten aus der mobilen App aufgrund eines unbefugten Datenbankzugriffs kompromittiert worden sein könnte.

Am Morgen des 15. März 2023 wurden wir von einem unabhängigen IT-Sicherheitsforscher über die Möglichkeit eines unbefugten Zugriffs auf die Datenbank der Keenetic-App informiert. Nachdem wir die Art und Glaubwürdigkeit des Risikos überprüft hatten, haben wir das Problem sofort am Nachmittag des 15. März 2023 behoben. Der IT-Sicherheitsforscher versicherte uns, dass er keine Daten an Dritte weitergegeben und sie vernichtet hat. Seitdem hatten wir bis Ende Februar 2025 keine Anzeichen dafür, dass die Datenbank kompromittiert wurde oder ein Nutzer betroffen war.

Am 28. Februar 2025 erfuhren wir, dass einige Datenbankinformationen an ein unabhängiges Medienunternehmen weitergegeben worden waren. Daher haben wir festgestellt, dass wir nicht länger garantieren können, dass die Daten ordnungsgemäß vernichtet wurden, und dass sich einige Informationen nun möglicherweise außerhalb unserer Kontrolle befinden.

Aufgrund der Art der Daten, die potenziell offengelegt werden könnten, schätzen wir das Risiko betrügerischer Aktivitäten jedoch als gering ein.

Eine begrenzte Anzahl von Datenbankfeldern war zugänglich: Keycloak-IDs, E-Mails (Logins) und Namen von Keenetic-Konten, Lokalisierungen; Benutzerkontenkonfigurationen des Geräts, einschließlich MD5- und NT-Passworthashes; benutzerdefinierte KeenDNS-Namen; Netzwerkschnittstellenkonfigurationen, einschließlich WLAN-SSIDs und vorinstallierter Schlüssel; WLAN-Kanaleinstellungen, Roaming-IDs und Schlüssel; IP-Richtlinien- und Traffic-Shaping-Einstellungen; Remote-Peer-Adressen, Logins und Passwörter von VPN-Clients, zugewiesene IP-Adressen; Namen und MAC-Adressen von registrierten Hosts; IPsec Site-to-Site-Konfigurationen; IPsec Virtual-IP-Server-Konfigurationen; DHCP-Pool-Einstellungen; NTP-Einstellungen; IP- und MAC-Zugriffslisten.

Nach unserem besten Wissen waren keine weiteren Daten zugänglich. Insbesondere RMM-Daten, Keenetic-Kontodaten, private Schlüssel und Konfigurationen von Wireguard-VPN-Tunneln sowie OpenVPN-Daten waren nicht zugänglich.

Keenetic sammelt, speichert oder analysiert keine Daten zu Zahlungskartendetails oder zugehörigen Anmeldeinformationen, Transaktionsdaten, Bankdaten oder Bankpasswörtern. Daher sind solche Daten nicht betroffen.

Wir empfehlen diesen Nutzern der Keenetic-App, die folgenden Passwörter und vorinstallierten Schlüssel zu ändern:

- Passwörter für Benutzerkonten von Keenetic-Geräten (Link zur Anleitung);

- WLAN-Passwörter (Link zur Anleitung);

- Passwörter/vorinstallierte Schlüssel für VPN-Clients für: PPTP/L2TP (Link zur Anleitung), L2TP/IPSec (Link zur Anleitung), IPSec Site-to-Site (Link zur Anleitung), SSTP (Link zur Anleitung).

Wir sind der festen Überzeugung, dass der unbefugte Zugriff ohne betrügerische oder böswillige Absicht erfolgte und die Datenbankinformationen nicht öffentlich zugänglich sind. Dennoch wurde die zuständige Datenschutzbehörde entsprechend benachrichtigt.

Wir entschuldigen uns für etwaige Unannehmlichkeiten und bestätigen, dass alle notwendigen Maßnahmen ergriffen wurden, um eine ähnliche Situation in Zukunft zu verhindern.

Sicherheit hat für uns höchste Priorität, um eine geschützte und kontrollierbare Umgebung zum Schutz der Netzwerke und Daten unserer Nutzer zu schaffen. Wir arbeiten ständig an der Verbesserung unseres Betriebssystems, unserer Anwendungen und unserer Cloud-Infrastruktur. Mit regelmäßigen Updates verbessern wir kontinuierlich die Leistung und Sicherheit, um sicherzustellen, dass unsere Software auf dem neuesten Stand bleibt.

Wenn Sie Fragen haben, wenden Sie sich bitte an das zuständige technische Support-Team.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2024-ED01
CVE: CVE-2024-4021, CVE-2024-4022
Schweregrad: Niedrig
Status: Behoben in KeeneticOS 4.3 und späteren Versionen

Keenetic wurde frühzeitig benachrichtigt und ist sich der Schwachstellen CVE-2024-4021 und CVE-2024-4022 voll bewusst.

Potenziell betroffene Geräte:
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Betroffene Firmware-Versionen:
Alle KeeneticOS-Versionen bis einschließlich 4.1.2.15.

Klarstellung zu den gemeldeten Schwachstellen:
1. CVE-2024-4022 bezieht sich auf eine gemeldete Offenlegung von Informationen, die für die Öffentlichkeit bestimmt sind. Die Anzeige des Modellnamens und der Firmware-Version im Webinterface ist beabsichtigt und wird nicht als Schwachstelle betrachtet. Der Modellname wird explizit auf der Benutzeroberfläche angezeigt, und die Firmware-Version kann aufgrund häufiger Updates, die die Oberfläche sichtbar verändern, leicht angenähert werden.
2. CVE-2024-4021 ermöglicht keinen Fernzugriff, keine Fernsteuerung und kein Durchsickern privater Benutzerinformationen. Stattdessen ermöglicht sie es einem Angreifer, zu identifizieren, welche Softwarekomponenten (z. B. WPA3-E, WireGuard, OpenVPN) auf dem Router installiert sind. Wichtig ist, dass diese Schwachstelle nicht anzeigt, ob diese Komponenten aktiv oder aktiviert sind. Sie gibt auch nicht preis, ob ein bestimmter Dienst extern bereitgestellt wird (zum Beispiel könnte WireGuard über Portweiterleitung verfügbar sein, anstatt auf dem Router selbst installiert zu sein). Nach Rücksprache mit einem unabhängigen Sicherheitsforscher hat Keenetic diese Schwachstelle als Offenlegung von Informationen mit geringem Risiko eingestuft. Das bedeutet, dass sie das Gerät oder die Benutzerinformationen nicht direkt kompromittiert.

Schweregrad:
Der Schweregrad der Offenlegung übermäßiger Informationen über das Gerät und das Betriebssystem wird als gering eingestuft.

Lösung:
Aufgrund des geringen Risikos dieser Schwachstellen wird Keenetic diese Probleme im nächsten KeeneticOS-Update beheben. Eine Korrektur wird in der KeeneticOS-Version 4.3 enthalten sein, deren Veröffentlichung für Mitte 2025 geplant ist. Ein dringendes Update ist nicht erforderlich.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

Sicherheitshinweis-ID: KEN-PSA-2021-WD01
Schweregrad: Mittel
CVE: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
Status: Behoben in KeeneticOS 3.6.6 und späteren Versionen

Keenetic ist sich der WLAN-Sicherheitsschwachstellen bewusst, die als FragAttacks (Fragmentation and Aggregation Attacks) bekannt sind. Detaillierte Informationen finden Sie unter https://www.fragattacks.com.

Die folgenden Schwachstellen wurden identifiziert:
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Potenziell betroffene Geräte:
Alle Keenetic-Modelle mit dem Index „KN“, die ab 2017 veröffentlicht wurden.

Betroffene Firmware-Versionen:
Alle KeeneticOS-Versionen bis einschließlich 3.6.5.

Schweregrad:
Der Schweregrad von FragAttacks wird als mittel eingestuft, mit weitreichenden Auswirkungen auf fast alle WLAN-Geräte seit 1997. Die Schwachstellen können potenziell zur Offenlegung von Informationen und zur Eskalation von Berechtigungen führen. Das Ausnutzen dieser Schwachstellen ist jedoch nicht einfach und erfordert, dass sich der Angreifer in unmittelbarer physischer Nähe zum Zielgerät befindet.

Lösung:
Die KeeneticOS-Version 3.6.6 enthält die notwendigen Korrekturen für diese WLAN-Schwachstellen. Dieses Update gilt für alle betroffenen Keenetic-Modelle. Wir empfehlen den Nutzern dringend, ihre Geräte auf die neueste online verfügbare KeeneticOS-Version zu aktualisieren. Keenetic hat bereits damit begonnen, automatische Updates für Geräte auszurollen, bei denen die Auto-Update-Option aktiviert ist.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.