Keenetic Product Security Advisory

Issuer and the Scope: The issuing entity of this Policy is Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Germany. This  Policy is established as the standard governing Policy for all Keenetic entities worldwide.

As a security researcher or vulnerability reporter, your work is vital to strengthening the safety of digital products and infrastructures. We created this Coordinated Vulnerability Disclosure (“CVD”) policy to ensure that your findings are treated with respect, handled responsibly, and acted upon quickly. It sets out how Keenetic (referred to as “Keenetic GmbH”, “we”, “us”) will respond to your reports, the assurances you can expect, and the steps that lead to a successful disclosure process.

Furthermore, we want to make sure your contributions are valued. We encourage you to participate in the Keenetic bug bounty program, that offers financial rewards to express our appreciation and encourage continued collaboration.

By participating in this process, you are not only helping to protect users and organizations but also joining a community where your expertise is recognized and rewarded. Together, we can make Keenetic products safer, build trust, and create a stronger digital ecosystem. 

Ⅰ.    Scope of the CVD policy – What do we consider to be a valid vulnerability

A valid vulnerability, in the context of this policy, is understood as a weakness, flaw, or security issue that directly affects one of the Keenetic’s products or infrastructure that can be exploited. 

To qualify as a valid report, the information disclosed should not already be publicly known, thereby ensuring that the report contributes new and actionable knowledge to the security process.  Furthermore, reports that are solely generated by automated tools or scans without sufficient supporting documentation are not considered adequate, as they lack the necessary evidence to enable meaningful analysis and remediation of a valid vulnerability.  Each report should ideally contain supporting details. This helps us focus on real issues and respond faster. 

Ⅱ.    How to report a vulnerability

When you discover a valid vulnerability, file a report by using the following channels. 

Email: You can email us at security@keenetic.com to ensure proper coordination and tracking.

Web Form: We provide a secure web submission form on our vulnerability disclosure page: https://keenetic.com/security/anonymous-reporting-form. This form supports anonymous reporting. You are not required to provide any personal information to submit a report; however, keep in mind that if you report anonymously we will not be able to ask you follow-up questions, which may limit our ability to investigate the issue. The web form is available in English, and it guides you to include the key details we need.

Security.txt: We maintain a keenetic.com/security.txt on our website which lists our vulnerability disclosure contacts and preferences. Reporters can refer to this file for up-to-date information on how to reach us.

When submitting a report, please include as much technical detail as possible. This helps us triage and fix the issue faster. We suggest providing:

• A description of the vulnerability and its potential impact. What could an attacker achieve? Which confidentiality/integrity/availability aspects are at risk? What could be the affected system in Keenetic’s IT infrastructure (e.g. Keenetic Corporate Systems, Operating System, App, Remote Monitoring and Management, Cloud and Keenetic Account)?

• Specific product names, versions, and configurations affected. (For websites or services, include URLs or IPs; for hardware or software, include model or version numbers.)

• Steps to reproduce the issue – e.g. what commands, inputs, or actions trigger the vulnerability. Screenshots or proof-of-concept (PoC) code are very helpful.

• If known, any suggested remediation or references to fixes (optional but appreciated).

• Your contact information (name or alias, and a secure method to reach you) if you desire a response. You may report anonymously, but then we cannot communicate with you for clarification or to give status updates.

Voluntary Information: The reporter may voluntarily provide contact information for coordination but is not required to submit personally identifiable information. You may use our web site based anonymous reporting form.

Ⅲ.    What we expect from you – Code of Conduct

We only reward reporters and acknowledge their achievements under this CVE policy which adhere to high standards of integrity and responsible behavior when discovering and reporting vulnerabilities. Therefore, we do not tolerate the following behavior:

• Good Faith Testing: Reporters shall only conduct testing that is non-disruptive and necessary to confirm the vulnerability's existence (Proof of Concept). They must not intentionally compromise user data, disrupt services, or damage systems.

• No Exploitation Beyond Testing: Active exploitation of a vulnerability beyond initial proof-of-concept testing is strictly prohibited. In particular, do not abuse the vulnerability to compromise data, alter configurations, pivot to other systems, or persistently access our systems. Triggering the issue to prove its existence is sufficient – do not, for example, download more data than necessary to demonstrate the flaw. If you encounter sensitive information (e.g. personal data of users, proprietary material), cease testing and report it immediately to us, and do not disclose or retain that information. 

• No social engineering or physical attacks: Do not use social engineering techniques (phishing emails, phone pretexting, etc.) against our employees or systems, and do not perform any physical security tests (such as attempting to enter our offices or data centers). This policy is limited to technical vulnerabilities in our products and infrastructure, and excludes social and physical attack vectors. 

• No denial-of-service or “brute force attacks”: Refrain from performing DoS/DDoS attacks or any testing that could degrade our services’ availability for users as well as “brute force” attacks. We want to avoid any disruption to our customers.

• No third-party or public attacks: Do not target vulnerabilities in third-party services or products that we use (instead, please notify those vendors directly). Similarly, do not test systems that are not owned or operated by us. If you inadvertently access data or systems of other parties during your research, notify us and cease further action. Do not compromise or manipulate data of any third party during your research. 

• Confidentiality and use of information: Reporters shall keep vulnerability details confidential and shall not publicly disclose, sell, or otherwise distribute exploit code or technical details that would enable exploitation until Keenetic has provided a public advisory or otherwise authorized disclosure. This does not restrict the reporter from notifying competent authorities, national CSIRT, or law enforcement where required by law or where immediate disclosure is necessary to prevent imminent harm.

• Remediation Period: Keenetic shall be afforded a reasonable, remediation period based on severity to investigate, remediate, and distribute security updates. If Keenetic fails to remediate or provide a credible mitigation within a reasonable period, the reporter may notify a national CSIRT or competent authority.

If a reporter inadvertently violates part of this code of conduct, we commit to still handle any discovered vulnerability in good faith to the best of our ability; however, such a reporter might not receive any rewards.

Ⅳ.    Our commitment to you when a vulnerability is reported

All incoming reports are treated to the best extent possible. Therefore, at least one valid contact option should be provided by you when reporting a vulnerability. Of course, you may report a vulnerability anonymously. 

1.   Response

After you submit a vulnerability report to us, we will let you know we received your report. This will be a personal reply from our security team. If we need clarification or additional information, we’ll ask as soon as possible. Be aware, for anonymous submissions, we obviously cannot respond, but we will proceed to investigate. For the transmission of confidential information, we need you to provide at least your email to be able to use our PGP-encryption key available at https://keenetic.com/security.txt

After further analysis of the report, we provide you with feedback as to whether we confirm or reject the reported vulnerability, meaningful queries to understand the reported vulnerability or an explanation why the investigation of the reported vulnerability is taking longer as expected.

2.   Confidential communication

We ensure to the extent permitted by law that each incoming vulnerability report is treated confidential and your personal data will not be disclosed to third parties without your explicit consent.

Information required for the public disclosure of the validated and verified vulnerability is publicly disclosed to the extent we are obliged by law. 

3.   Anonymous reporting (optional)

You may use our web site based anonymous reporting form.

As we respect your wish to remain anonymous, please be aware that anonymous reports can only be processed to a limited extent or possibly not at all, due to the missing option to request technical or content-related queries, especially in the case of complex issues. 

4.   Respectful and open communication

All communication will remain professional and we will treat you with respect. We expect the same courtesy in return – we have zero tolerance for any discrimination, harassment or disrespect in communications from either side.

Our security team may reach out with questions to better understand the issue or request reproducible technical artifacts and instructions so the vulnerability can be reproduced and fixed. We encourage you to ask for updates at any time; we consider follow-up inquiries welcome and a sign of your interest, not an annoyance. 

Ⅴ.    Coordinating and completing the disclosure

Validated and verified vulnerabilities are publicly disclosed by Keenetic. The public notification includes:

• A description of the vulnerability.

• Information allowing users to identify affected products/versions.

• The impact and severity.

• Clear instructions on how to apply corrective measures or a patch.

The coordinated vulnerability disclosure process is considered to be complete, if the vulnerability has been mitigated or fixed by appropriate measures and has been publicly disclosed indications of the vulnerability report are unfounded and, therefore, the report can only be processed to a limited extend or not at all.

We consider a CVD process completed when one of the following occurs: 

• a fix or mitigation has been deployed and a public advisory released; or 

• the reported issue was determined not to be a vulnerability (false positive or out of scope) and this was communicated to the reporter; or 

• we are unable to reproduce or need more info and the reporter is unresponsive for an extended period (generally 30 days), in which case we close the case pending new information. 

We communicate the end of the CVD process to the reporter, unless the vulnerability was reported anonymously.

Ⅵ.    Rewards

We deeply appreciate the efforts of reporters and others who privately report vulnerabilities to us. As a token of thanks, we operate a Bug Bounty Program. External security researchers who responsibly report vulnerabilities in accordance with this policy may be eligible for a financial reward as a token of appreciation. The amount of any reward is determined individually based on the severity of the reported vulnerability as described in our Bug Bounty Terms & Conditions.

Ⅶ.    Legal Safe Harbor

By adhering to this CVD policy, Keenetic acknowledges that the reporter is acting in "good faith" research, and will not pursue criminal charges against the reporter in relation to the research activities.

Keenetic (“Keenetic”, “we”, “us”) operates a Bug Bounty Program (“Program”). The Program is governed by these Bug Bounty Terms & Conditions and by the Coordinated Vulnerability Disclosure Policy (“CVD‑Policy”). Collectively, these documents constitute the binding legal terms of the Program (the “Terms”).

1.    Program Overview

(1)   The Program’s goal is to improve our products’ security and protect user data by leveraging outside expertise, in line with our Terms. By submitting a vulnerability report or otherwise participating, you agree to the Terms.

(2)   A valid vulnerability, in the context of the Terms, is understood as a weakness, flaw, or security issue that directly affects one of Keenetic's products infrastructure that can be exploited. The amount of any reward is determined individually based on the severity of the reported vulnerability.

(3)   The decisions made by Keenetic regarding Bug Bounties are final and binding. Keenetic may change or cancel this Program at any time, for any reason.

2.    Safe Harbour

(1)   We consider activities conducted in compliance with our Terms to be authorized, this means we will not initiate legal action (civil or criminal) against you for your good-faith efforts under the Program.

(2)   Notably, this assurance applies only if you abide by the Terms of the Program – we cannot immunize you from legal consequences initiated by third parties or authorities for actions beyond our scope. You are expected to always comply with applicable laws and refrain from any actions that go beyond what is permitted here. If in doubt about whether an action is allowed, please stop and ask us first (see contact information under “Procedure for Reporting a Vulnerability and Code of Conduct” of Keenetic Coordinated Vulnerability Disclosure Policy.

3.    Scope of the Program

(1)   The Program covers the following products, services, and websites of our organization (“in-scope systems”):

• Web Applications: e.g., our official website and subdomains, customer portals, and online services.
• Mobile/Desktop Applications: The latest versions of our apps (Android, iOS, Windows) distributed via official app stores.
• API & Infrastructure: Publicly documented APIs and backend services we own.
• Hardware/IoT Devices: Any hardware products with their firmware.

(2)   Only vulnerabilities that directly affect these in-scope systems are eligible for rewards. If in doubt whether a system is in-scope, please inquire before testing. We may update the scope from time to time (e.g., adding new targets or temporarily suspending some systems) – such changes will be noted on our Program webpage.

(3)   For avoidance of doubt, the following systems are out of scope, testing them is not authorized (“out-of-scope systems”):

• Third-Party Services or Infrastructure: Vulnerabilities in third-party platforms we use (cloud providers, SaaS tools, etc.) should be reported to those vendors, not to us. Attacks or scans against our vendors or partners are not allowed.
• Assets Not Owned by Us: Any website, application, or system not expressly listed as in-scope (including domains that don’t belong to our company).
• Denial of Service: Any attacks that disrupt service (DoS/DDoS) or brute-force large numbers of requests or login attempts.
• Social Engineering & Physical Attacks: Manipulating our employees or users (via phishing, vishing, etc.), or attempting to gain physical access to offices, are strictly prohibited. The Program is limited to technical vulnerabilities.
• Privacy Violations: Accessing, copying, or modifying data that is not your own. For example, extracting other users’ personal information or proprietary data is out-of-scope even if a vulnerability makes it theoretically possible. If during testing you encounter someone else’s data, stop immediately and report the issue; do not continue exploring that data.

4.    Program Eligibility

(1)   This Program is intended for external security researchers. To participate and receive any bounty, you must meet all of the following eligibility criteria

       a.   Minimum Age
You must be at least 18 years old. If you are 14 or older but under 18 (or under the age of majority in your country), you must have permission from your parent or legal guardian to participate. In any case, no participants under 14 years of age are allowed.

       b.   Individual or Organization Permission
You can participate in an individual capacity or on behalf of your employer. If you are reporting in the course of your employment or using your employer’s resources, ensure your employer permits participation in bug bounty programs. It is your responsibility to review your employment agreements or policies.

       c.   No Current or Recent Employees/Contractors
Employees of Keenetic or its subsidiaries are not eligible. This includes anyone who has left our employment within the last 6 months, as well as anyone currently working for us as a contractor, consultant, or intern with access to our internal systems. Immediate family members (spouse, parent, child, sibling) of our employees are also not eligible. This ensures fairness and avoids conflicts of interest.

       d.   Public Sector
If you are a public sector employee (e.g., government, law enforcement, military, or education sector), you may only participate in your personal capacity and not as part of your official duties. It is your responsibility to ensure that accepting a bounty from us does not violate any laws or ethics rules that apply to you.

       e.   Multiple Reports & Duplicates
If the same vulnerability is reported by multiple researchers, only the first report we receive will be eligible for a Bug Bounty, provided our Terms are met. If a later report contains new information that we were not aware of, we may, at our discretion, award a partial bounty to the later reporter. Please note we might already be in the process of fixing an issue when you report it; if so, we will inform you, and such a case may not qualify for a reward, if we deem it a known issue.

(2)   We reserve the right to disqualify any Participant who does not meet these criteria or who is found to violate the intent of these rules. Bug Bounties will not be paid to anyone who is on a sanctions list or whom it would be legally impermissible for us to compensate. If you have questions about eligibility or need clarification, please contact us.

5.    Procedure for Reporting a Vulnerability and Code of Conduct 

(1)   As laid down comprehensively in the CVD-Policy, Keenetic provides multiple secure channels for reporting valid vulnerabilities, including 

• email - security@keenetic.com, 
• a web submission form at https://keenetic.com/security/anonymous-reporting-form, and 
• a security.txt file hosted on our website.

(2)   Reports should contain comprehensive technical details such as a description of the vulnerability, its potential impact, affected systems, product versions, and steps to reproduce, supplemented by proof-of-concept material where possible.

(3)   Anonymous reporting is permitted; however, it may limit follow-up communication. All reporters are expected to adhere to our Code of Conduct stated in the CVD-Policy, which prohibits e.g., disruptive testing, exploitation beyond proof-of-concept, social engineering, physical attacks, denial-of-service, brute force attempts, and targeting third-party systems.

6.    Rewards

(1)   The Program offers Bug Bounties for eligible, validated vulnerability reports. Our goal is to acknowledge and reward security researchers fairly based on the severity and impact of their findings, while being transparent about how rewards are determined.

(2)   We classify reported vulnerabilities based on their impact and exploitability into the following categories: low, medium, high, and critical. For each category, we have typical reward ranges (in US-Dollar). A typical reward structure may include:

(3)   The actual reward amount for any individual case is determined at the sole discretion of Keenetic after our security team has validated the reported vulnerability and assessed its severity. We consider factors such as the classification and sensitivity as well as amount of affected systems/data, ease of exploitation, and overall risk to our users and organization. 

(4)   No reward will be paid in the following cases:
a.   Lack of Secure/HTTPOnly flags on non-sensitive Cookies;
b.   Duplicate reports of security issues, including security issues that have already been identified internally;
c.   Automated scanning attacks;
d.   Distributed Denial of Service attacks and Denial of Service attacks;
e.   UI, UX bugs, and spelling mistakes, Usability issues;
f.   Violations of licenses or other restrictions applicable to any vendor's product;
g.  Vulnerabilities that are a result of malware;
h.   Theoretical security issues with no realistic exploit scenario(s) or attack surfaces, or issues that would require complex end-user interactions to be exploited;
i.   Vulnerabilities considered to be below a P1 impact;
j.   Discovery of any in-use service whose version contains known vulnerabilities (such as a specific version of Linux Kernel, or OpenSSL) without a demonstration of intrusion, information retrieval, or service disruption using that vulnerability;
k.   Leveraging the findings of one vulnerability to create further exploits to then test normally inaccessible functionality, e.g. using leaked personal data, if there is no evidence that a vulnerability can be leveraged to a greater degree;
l.   Vulnerabilities in third-party software and services.

(4)   If a Participant violates any provision of the Terms, Keenetic may reduce, withhold, or require the return of all or part of any reward paid or payable in respect of the relevant vulnerability. The amount of any reduction shall be proportionate to the severity of the violation and may take into account factors including the nature of the violation, the degree of culpability and any actual or potential harm caused.

7.    Payments

(1)   To receive payment, you will need to provide us with necessary details (such as payment method, tax information if required). Bounties will typically be paid in US-Dollar ($) or, if we specify, in another currency like EUR – we will clarify this during the award process. We can often accommodate a preferred payment currency at the exchange rate at time of payment.

(2)   Please note that Bug Bounties are generally considered taxable income. You are solely responsible for paying any taxes due in your jurisdiction for the reward. We may ask you to fill out certain tax forms (especially if you are in a different country) before payment. If you are unable or unwilling to complete required paperwork, it could delay or forfeit the payment.

8.    Copyright

(1)   You retain any intellectual property rights in respect of your submission. However, by submitting a vulnerability report to us, you grant us a non-exclusive, perpetual, irrevocable, worldwide, royalty-free license to use, modify, test, create derivative works from, share, and publish the information in your report for the purpose of addressing the vulnerability and improving security. 

(2)   For example, we can use the submitted proof-of-concept code to reproduce the issue, we can disclose details to a third-party vendor if needed (to coordinate a fix in a component), and we can include relevant details in our public advisories. You also agree that any materials you submit are either your original work or you have the legal right to provide them.

9.    Restrictions on Disclosure

(1)   We will investigate the vulnerability that you have reported and will aim to resolve it as quickly as possible. If you wish to publish details of your findings, please contact us first for approval. For 30 days after the vulnerability is fixed, we require that you withhold detailed proof-of-concept exploit code and any other information that could facilitate attacks on our digital products. Keenetic will notify you when the vulnerability in your submission has been fixed.

(2)   Any breach of this section may obligate you to repay bounties awarded for the vulnerability and may result in your exclusion from future participation in the program.

10.   Liability

(1)   Our liability for breaches of the Terms and for tort shall be limited to intent and gross negligence.

(2)   The limitation of liability referred to in paragraph 1 shall not apply to

       a.   injury to life, body and health of the Participant or

       b.   claims of the Participant for breach of cardinal obligations, i.e. obligations arising from the nature of the Terms and the breach of which endangers the achievement of the purpose of the Program. In this case, however, our liability shall be limited to compensation for the foreseeable, typically occurring damage.

In these cases, we shall be liable for any degree of fault.

(3)   Furthermore, the limitation of liability from paragraph 1 shall not apply if a defect was fraudulently concealed.

(4)   Insofar as liability for damages against us is excluded, this shall also apply with regard to the personal liability for damages of our employees, representatives and vicarious agents.

11.   Miscellaneous

(1)   Should any provision of the Terms be or become invalid, the validity of the remaining provisions shall remain unaffected. In place of the invalid provision, a provision shall be deemed to have been agreed which comes closest to the economic purpose of the invalid provision.

(2)   The Terms shall be governed by and construed in accordance with the laws of the Federal Republic of Germany. The statutory provisions restricting the choice of law and the applicability of mandatory provisions, in particular those of the country in which the Participant as a consumer has the habitual residence, remain unaffected.

(3)   If the Participant is a merchant, a legal entity under public law, or a special fund under public law, the place of jurisdiction for all disputes arising from the Terms is Frankfurt am Main, Germany.

Güvenlik Uyarısı Kimliği: KEN-PSA-2025-WP01
Önem Derecesi: Yüksek
CWE: CWE-521 (Zayıf Şifre Gereksinimleri)
Durum: KeeneticOS 4.3 ve sonraki sürümlerde çözüldü

Özet

KeeneticOS 4.3'ten önce, kullanıcılar zayıf admin şifreleri belirleyebiliyor ve router'ın web arayüzünü İnternet'e açabiliyorlardı; bu durum yüksek bir güvenlik ihlali riski teşkil ediyordu. Yakın zamanda yapılan şirket içi incelemeler, bu güvenlik açığının en yaygın zayıf şifrelere sahip cihazlarda otomatik şifre tarayıcıları tarafından istismar edildiğini ortaya koymuştur. En son KeeneticOS 4.3, daha güçlü şifreleri zorunlu kılar ve bilinen, güvenliği ihlal edilmiş bir şifre ayarlandığında halka açık web erişimini engeller.

Önemli sayıda kullanıcının zayıf veya kolayca tahmin edilebilir şifreler kullanmaya devam ettiğini tespit ettik. Bu durum; yetkisiz erişim, veri ihlalleri ve olası hizmet kesintileri de dahil olmak üzere önemli güvenlik riskleri oluşturmaktadır. Kullanıcı verilerini korumak en yüksek önceliğimizdir ve bu güvenlik açıklarının giderilmesi esastır.

Genel güvenliği güçlendirmek ve kullanıcı verilerinin sürekli korunmasını sağlamak amacıyla, Son Kullanıcı Lisans Sözleşmesi'nin 6. maddesine uygun olarak ve AB Siber Dayanıklılık Yasası (CRA) ile uyumlu şekilde, KeeneticOS 4.3'ten daha önceki bir sürümü çalıştıran cihazlar için zorunlu bir yazılım güncellemesi dağıtılacaktır. Bu güncelleme, gelişmiş güvenlik önlemleri, daha güçlü şifre oluşturmayı destekleyen araçlar ve sistem kararlılığını artıran ve kullanıcı hesaplarını koruyan kritik hata düzeltmeleri içerir.

Bu güncellemenin neden olduğu aksaklıklardan dolayı içtenlikle özür dileriz. Kesintiyi en aza indirmek için güncellemeyi standart mesai saatleri dışında uygulamaya çalışıyoruz. Herhangi bir sorunuz olursa veya yardıma ihtiyacınız olursa lütfen destek ekibimizle iletişime geçin.

Etkilenen Ürünler / Yapılandırmalar

Ürünler: KeeneticOS'un 4.3'ten önceki sürümlerini çalıştıran Keenetic router'lar.

Yapılandırma ön koşulu: Router'ın web arayüzü İnternet'e açık olmalı ve uzaktan web erişimi etkinleştirilmiş olmalıdır.

Güvenlik Açığı Ayrıntıları

Sorun: Web arayüzüne İnternet'ten erişilebilirken zayıf admin şifrelerinin kabul edilmesi.

Etki: Cihazın tam yönetimsel olarak ele geçirilmesi, yapılandırma değişikliklerine, trafiğin engellenmesine/yönlendirilmesine, ek hizmetlerin etkinleştirilmesine ve dahili ağa daha fazla sızma olasılığına olanak tanır.

Vektör: Uzaktan (İnternet); önceden kimlik doğrulama veya kullanıcı etkileşimi gerekmez.

Katkıda bulunan faktörler: Yönetici arayüzünün İnternet'e açık olması ve zayıf, kolayca tahmin edilebilir kimlik bilgileri.

Önem Derecesi (CVSS v3.1 — analist tahmini)

8.8 (Yüksek) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Gerekçe: Zayıf şifrelere izin verildiğinde yönetici kontrolüne giden uzaktan, kimliği doğrulanmamış yol; kullanılabilirlik etkisi gizlilik/bütünlüğe göre ikincil düzeydedir.

Düzeltme ve Güçlendirme

Platform kontrolleri: Cihaz, yönetici şifresinin en sık kullanılan zayıf şifreler listesinde olup olmadığını otomatik olarak kontrol eder. Bu durumda, web arayüzüne uzaktan erişimi ve özel yazılımların yürütülmesini engeller ve şifre yalnızca yerel alan ağından değiştirilebilir. Yeni bir şifre girerken, cihaz NIST SP 800-63B önerilerine göre şifre gücünü zorunlu kılar.

Yükseltme: KeeneticOS'un 4.3'ten önceki sürümlerini çalıştıran tüm cihazları KeeneticOS 4.3 veya sonraki bir sürüme geçirin. Modeliniz için mevcut olan en son işletim sistemini kullanın.

Admin kimlik bilgileri: Uzun, benzersiz şifreler kullanın. En az 15 karakter veya oluşturulmuş bir parola ifadesi öneriyoruz.

Maruz kalmayı sınırlayın: Uzaktan web erişimi kesinlikle gerekli değilse, devre dışı bırakın. Cihazın web arayüzüne yalnızca belirli IP adreslerinden erişime izin vermek için güvenlik duvarı kuralları kullanın.

Saldırıları izleyin: Tekrarlanan başarısız giriş denemelerine veya kilitlenmelere dikkat edin, çünkü bunlar bir kaba kuvvet saldırısının göstergesi olabilir.

Güvenlik Uyarısı Kimliği: KEN-PSA-2025-WA01
Önem Derecesi: Orta
CVE: CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
Durum: KeeneticOS 4.3 ve sonraki sürümlerde çözüldü

Keenetic, KeeneticOS'un 4.3'ten önceki tüm sürümlerini etkileyen üç ciddi güvenlik açığına ilişkin raporları alıp doğruladı. Bağımsız bir güvenlik araştırmacısı bu güvenlik açıklarını sorumlu bir şekilde ifşa etti ve o zamandan beri en son kararlı sürümde bu açıklar giderildi.

Güvenlik açıkları CVE-2025-56007, CVE-2025-56008, CVE-2025-56009 olarak tanımlanmıştır.

CVE-2025-56007 — /auth API Uç Noktasında CRLF Ekleme:
/auth API uç noktasındaki bir CRLF ekleme güvenlik açığı, uzaktaki saldırganların HTTP başlıklarını manipüle etmesine ve yetkisiz komutlar eklemesine olanak tanıyabilir. Saldırganlar, bir kurbanı özel olarak hazırlanmış bir sayfayı açması için kandırarak yeni yönetici kullanıcılar ekleyebilir ve cihazın kontrolünü ele geçirebilir.

CVE-2025-56008 — “Kablosuz İSS” Sayfasında Siteler Arası Komut Dosyası Çalıştırma (XSS):
Saldırganlar, kötü amaçlı komut dosyası içeren özel olarak hazırlanmış bir SSID yayınlayarak “Kablosuz İSS” yapılandırma sayfasındaki bir XSS güvenlik açığından yararlanabilir. Kullanıcı Web arayüzünü kullanarak kullanılabilir ağları taradığında, komut dosyası yöneticinin oturumu bağlamında yürütülür ve saldırganın cihazın kontrolünü ele geçirmesini sağlar.

CVE-2025-56009 — /rci API Uç Noktasında Siteler Arası İstek Sahteciliği (CSRF):
/rci API uç noktasındaki bir CSRF güvenlik açığı, saldırganların kimliği doğrulanmış bir kullanıcı adına yetkisiz eylemler gerçekleştirmesine olanak tanıyabilir. Kurbanı kötü amaçlı bir sayfayı ziyaret etmeye çekerek, saldırganlar sessizce tam izinlere sahip kullanıcılar ekleyebilir ve cihazı ele geçirebilir.

Potansiyel olarak etkilenen cihazlar:
2017'den itibaren piyasaya sürülen “KN” indeksli tüm Keenetic modelleri.

Önem Derecesi:
Saldırı sırasında kullanıcının router'ın web arayüzüne giriş yapmış olması gerektiğinden, önem derecesi orta olarak kabul edilir. “Kablosuz İSS” sayfasındaki bir saldırı, saldırganın cihaza yakın olmasını da gerektirir.

Etkilenen yazılım sürümleri:
KeeneticOS'un 4.2'ye kadar olan tüm sürümleri.

Çözüm:
Tüm kullanıcıların Keenetic cihazlarını, bu güvenlik açıkları için yamalar içeren en son kararlı yazılım sürümü olan KeeneticOS 4.3'e yükseltmeleri şiddetle tavsiye edilir. Yazılım güncellemeleri, cihazın web arayüzü veya Keenetic mobil uygulaması aracılığıyla yapılabilir.

Teşekkür:
Bağımsız araştırmacıya, sorumlu ifşası ve Keenetic ürünlerinin güvenliğini artırmaya yönelik katkılarından dolayı teşekkür ederiz.

Güvenlik Uyarısı Kimliği: KEN-PSA-2025-WD01
Önem Derecesi: Orta
CVE: CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
Durum: KeeneticOS 4.3.2 ve sonraki sürümlerde çözüldü

Keenetic, yonga seti üreticisi Mediatek, Inc. tarafından bildirilen Wi-Fi AP sürücüsündeki “Keyfi Paket Ekleme” güvenlik açığından haberdardır. Eksik bir izin denetimi nedeniyle keyfi bir paket eklemenin olası bir yolu vardır. Bu durum, ek yürütme ayrıcalıkları gerektirmeksizin uzaktan ayrıcalık yükseltilmesine yol açabilir. Kötüye kullanım için kullanıcı etkileşimi gerekmez.

Yonga seti üreticisi ayrıca, yanlış bir sınır denetimi nedeniyle olası bir sınır dışı yazma gibi ek güvenlik açıkları da bildirmiştir. Bu durum, ek yürütme ayrıcalıkları gerektirmeksizin uzaktan kod yürütülmesine yol açabilir.

Güvenlik açıkları CVE-2025-20674, CVE-2025-20685, CVE-2025-20686 olarak tanımlanmıştır.

Potansiyel olarak etkilenen cihazlar:
2017'den itibaren piyasaya sürülen “KN” indeksli tüm Keenetic modelleri, Mediatek tarafından üretilen Wi-Fi yonga setlerine dayanmaktadır: MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Etkilenen yazılım sürümleri:
4.3.1 dahil olmak üzere tüm KeeneticOS sürümleri

Önem Derecesi:
Saldırganın hedef cihaza fiziksel olarak yakın olması gerektiğinden önem derecesi orta olarak kabul edilir.

Çözüm:
KeeneticOS 4.3.2, bu güvenlik açıklarını gideren gerekli düzeltmeleri içerir. Bu güncelleme, etkilenen tüm Keenetic modelleri için geçerlidir. Kullanıcıların cihazlarını çevrimiçi olarak mevcut en son KeeneticOS sürümüne yükseltmelerini önemle tavsiye ederiz. Keenetic, otomatik güncelleme seçeneği etkinleştirilmiş cihazlara otomatik güncellemeleri dağıtmaya başlamıştır.

Advisory ID: KEN-PSA-2025-CS01
Severity: Medium
Status: Resolved

Yeni keşfedilen bilgiler ışığında, Keenetic Limited, 16 Mart 2023'ten önce kayıt yaptıran Keenetic Mobil Uygulama kullanıcılarını, mobil uygulama verilerinin bir kısmının yetkisiz veritabanı erişimi nedeniyle tehlikeye atılmış olabileceği konusunda bilgilendirir.

15 Mart 2023 sabahı, bağımsız bir BT güvenlik araştırmacısı tarafından Keenetic Mobil Uygulama veritabanına yetkisiz erişim olasılığı hakkında bilgilendirildik. Riskin niteliğini ve güvenilirliğini doğruladıktan sonra, sorunu 15 Mart 2023 öğleden sonra derhal çözdük. BT güvenlik araştırmacısı, bize hiçbir veriyi kimseyle paylaşmadığını ve yok ettiğini söyledi. O zamandan beri, Şubat 2025 sonuna kadar veritabanının tehlikeye atıldığına veya herhangi bir kullanıcının etkilendiğine dair hiçbir belirti yoktu.

28 Şubat 2025'te, bazı veritabanı bilgilerinin bağımsız bir medya kuruluşuna ifşa edildiğini öğrendik. Bu nedenle, verilerin uygun şekilde imha edildiğini artık garanti edemeyeceğimizi ve bazı bilgilerin artık kontrolümüz dışında olabileceğini belirledik.

Ancak, potansiyel olarak ifşa edilebilecek verilerin doğası nedeniyle, dolandırıcılık faaliyeti riskini düşük olarak tahmin ediyoruz.

Sınırlı sayıda veritabanı alanına erişilebildi: Keycloak kimlikleri, e-postalar (oturum açma bilgileri) ve Keenetic hesaplarının adları, yerel ayarlar; MD5 ve NT parola karmaları dahil olmak üzere cihaz kullanıcı hesabı yapılandırmaları; özel KeenDNS adları; Wi-Fi SSID'leri ve önceden paylaşılan anahtarlar dahil olmak üzere ağ arabirimi yapılandırmaları; Wi-Fi kanal ayarları, dolaşım kimlikleri ve anahtarları; IP politikası ve trafik şekillendirme ayarları; uzak eş adresleri, VPN istemcilerinin oturum açma bilgileri ve parolaları, atanmış IP adresleri; kayıtlı ana bilgisayarların adları ve MAC adresleri; IPsec siteler arası yapılandırmalar; IPsec Sanal IP sunucu yapılandırmaları; DHCP havuz ayarları; NTP ayarları; IP ve MAC erişim listeleri.Ancak cihaz kullanıcı hesabı şifreleri her durumda sunucularımızda encripted/şifreli olarak tutulmaktadır.

Bildiğimiz kadarıyla, başka hiçbir veriye erişilemedi. Özellikle, RMM verileri, Keenetic hesap verileri, özel anahtarlar ve Wireguard VPN tünellerinin yapılandırmaları ve OpenVPN verilerine erişilemedi.

Keenetic, ödeme kartı bilgileri veya ilgili kimlik bilgileri, işlem verileri, banka bilgileri veya banka şifreleri, ev, iş yeri adresleri hakkında veri toplamaz, depolamaz veya analiz etmez. Bu nedenle, bu tür veriler etkilenmez.

Keenetic mobil uygulamayı 15 Mart 2023 tarihi ve öncesinde kuran  kullanıcılara aşağıdaki şifreleri ve önceden paylaşılan anahtarları değiştirmelerini öneriyoruz:

- Keenetic cihaz kullanıcı hesabı şifreleri (talimatlara bağlantı);

- Wi-Fi şifreleri (talimatlara bağlantı);

- VPN istemcisi şifreleri/önceden paylaşılan anahtarlar: PPTP/L2TP (talimatlara bağlantı), L2TP/IPSec (talimatlara bağlantı), IPSec Site-to-Site (talimatlara bağlantı), SSTP (talimatlara bağlantı).

Yetkisiz erişimin herhangi bir hileli veya kötü niyetli niyet olmadan gerçekleştiğine ve veritabanı bilgilerinin kamuya açık olmadığına inanıyoruz, ancak yine de ilgili veri koruma otoritesine uygun bildirim gönderildi.

Herhangi bir rahatsızlıktan dolayı özür dileriz ve gelecekte benzer bir durumun yaşanmasını önlemek için gerekli tüm önlemlerin alındığını teyit ederiz.

Kullanıcılarımızın ağlarını ve verilerini korumak için korumalı ve kontrol edilebilir bir ortam sağlamak amacıyla güvenliği en yüksek önceliğimiz olarak belirledik. İşletim sistemimizi, uygulamalarımızı ve bulut altyapımızı sürekli olarak iyileştirmek için çalışıyoruz. Düzenli güncellemelerle yazılımımızın güncel kalmasını sağlamak için performansı ve güvenliği sürekli olarak artırıyoruz.

Herhangi bir sorunuz varsa lütfen ilgili teknik destek ekibiyle iletişime geçmekten çekinmeyin.

Advisory ID: KEN-PSA-2024-ED01
CVE: CVE-2024-4021, CVE-2024-4022
Severity: Low
Status: Resolved in KeeneticOS 4.3 and later

Keenetic erkenden bilgilendirildi ve CVE-2024-4021 ve CVE-2024-4022 güvenlik açıklarının tamamen farkındadır.

Potansiyel olarak etkilenen cihazlar:
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Etkilenen aygıt yazılımı sürümleri:
4.1.2.15'e kadar ve dahil olmak üzere tüm KeeneticOS sürümleri.

Bu güvenlik açıklarının düşük riskli yapısı nedeniyle, Keenetic bu sorunları bir sonraki KeeneticOS güncellemesinde ele alacaktır. 2025 ortalarında yayınlanması planlanan KeeneticOS 4.3 sürümüne bir düzeltme eklenecektir. Acil bir güncelleme gerekli değildir.

Bildirilen güvenlik açıklarının açıklaması:
1. CVE-2024-4022, kamuya açık olması amaçlanan bilgilerin bildirilen bir ifşasına atıfta bulunur. Model adını ve ürün yazılımı sürümünü web arayüzünde görüntülemek tasarım gereğidir ve bir güvenlik açığı olarak kabul edilmez. Model adı kullanıcı arayüzünde açıkça gösterilir ve ürün yazılımı sürümü, arayüzü görünür şekilde değiştiren sık güncellemeler nedeniyle kolayca tahmin edilebilir.
2. CVE-2024-4021, özel kullanıcı bilgilerinin uzaktan erişimini, kontrolünü veya sızdırılmasını etkinleştirmez. Bunun yerine, bir saldırganın yönlendiriciye hangi yazılım bileşenlerinin (örneğin, WPA3-E, WireGuard, OpenVPN) yüklendiğini belirlemesine olanak tanır. Önemlisi, bu güvenlik açığı bu bileşenlerin etkin mi yoksa etkinleştirilmiş mi olduğunu göstermiyor. Ayrıca belirli bir hizmetin harici olarak sağlanıp sağlanmadığını da açıklamıyor (örneğin, WireGuard yönlendiricinin kendisine yüklenmek yerine port yönlendirme yoluyla kullanılabilir). Bağımsız bir üçüncü taraf güvenlik araştırmacısına danıştıktan sonra, Keenetic bu güvenlik açığını düşük riskli bilgi ifşası olarak sınıflandırdı. Bu, cihazı veya kullanıcı bilgilerini doğrudan tehlikeye atmaması anlamına geliyor.

Advisory ID: KEN-PSA-2021-WD01
Severity: Medium
CVE: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
Status: Resolved in KeeneticOS 3.6.6 and later

Keenetic, FragAttacks (Fragmentation and Aggregation Attacks) olarak bilinen Wi-Fi güvenlik açıklarının farkındadır. Ayrıntılı bilgi https://www.fragattacks.com adresinde bulunabilir.

Aşağıdaki güvenlik açıkları tespit edilmiştir:
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Potansiyel olarak etkilenen cihazlar:
2017'den itibaren piyasaya sürülen “KN” endeksli tüm Keenetic modelleri.

Etkilenen ürün yazılımı sürümleri:
3.6.5'e kadar ve 3.6.5 dahil tüm KeeneticOS sürümleri.

Çözüm:
KeeneticOS sürüm 3.6.6, bu Wi-Fi güvenlik açıklarını ele alan gerekli düzeltmeleri içerir. Bu güncelleme, etkilenen tüm Keenetic modelleri için geçerlidir. Kullanıcıların cihazlarını çevrimiçi olarak mevcut olan en son KeeneticOS sürümüne yükseltmelerini şiddetle tavsiye ediyoruz. Keenetic, otomatik güncelleme seçeneği etkin olan cihazlara otomatik güncellemeleri sunmaya başlamıştır.