Keenetic Product Security Advisory

Podmiot wydający i zakres: podmiotem wydającym niniejszą Politykę jest Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Niemcy. Niniejsza Polityka została ustanowiona jako standardowa polityka obowiązująca wszystkie podmioty Keenetic na całym świecie.

Jako badacz zabezpieczeń lub osoba zgłaszająca luki w zazbezpieczeniach, wykonujesz pracę kluczową dla wzmocnienia bezpieczeństwa produktów i infrastruktury cyfrowej. Stworzyliśmy niniejszą Politykę koordynowanego ujawniania luk w zabezpieczeniach („CVD”), aby zapewnić, że Twoje odkrycia są traktowane z szacunkiem, obsługiwane odpowiedzialnie, a działania są szybko podejmowane. Określa ona sposób, w jaki Keenetic („Keenetic GmbH”, „my”) zareaguje na Twoje zgłoszenia, jakich gwarancji możesz oczekiwać oraz jakie kroki prowadzą do powodzenia procesu ujawnienia.

Ponadto chcemy zapewnić docenienie Twojego wkładu. Zachęcamy do udziału w programie nagród za błędy Keenetic, który oferuje nagrody finansowe, aby wyrazić naszą wdzięczność i zachęcić do dalszej współpracy.

Uczestnicząc w tym procesie, nie tylko pomagasz chronić użytkowników i organizacje, ale także dołączasz do społeczności, w której Twoja wiedza jest doceniana i nagradzana. Razem możemy uczynić produkty Keenetic bezpieczniejszymi, budować zaufanie i stworzyć silniejszy ekosystem cyfrowy.

Ⅰ. Zakres polityki CVD – co uznajemy za prawidłową lukę

Za prawidłową lukę w kontekście niniejszej polityki uznaje się słabość, wadę lub problem dotyczący zabezpieczeń, który bezpośrednio dotyczy jednego z produktów lub infrastruktury Keenetic i może zostać wykorzystany.

Aby zgłoszenie zostało uznane za ważne, ujawnione informacje nie powinny być już publicznie znane, co zapewnia, że zgłoszenie wnosi nową i możliwą do wykorzystania wiedzę do procesu utrzymania bezpieczeństwa. Ponadto zgłoszenia generowane wyłącznie przez automatyczne narzędzia lub skanery bez odpowiedniej dokumentacji uzupełniającej nie są uznawane za wystarczające, ponieważ brakuje im niezbędnych dowodów umożliwiających przeprowadzenie znaczącej analizy i usunięcia prawidłowej luki w zabezpieczeniach. Każde zgłoszenie powinno zawierać, w miarę możliwości, uzupełniające szczegóły. Pomaga nam to skupić się na rzeczywistych problemach i szybciej reagować.

Ⅱ. Jak zgłosić lukę w zabezpieczeniach

Po odkryciu luki w zabezpieczeniach złóż zgłoszenie, korzystając z następujących kanałów.

Poczta e-mail: możesz wysłać do nas wiadomość e-mail na adres security@keenetic.com, aby zapewnić właściwą koordynację i śledzenie.

Formularz internetowy: udostępniamy bezpieczny formularz zgłoszeniowy na naszej stronie ujawniania luk w zabezpieczeniach: https://keenetic.com/security/anonymous-reporting-form. Formularz ten umożliwia anonimowe zgłaszanie. Nie musisz podawać żadnych danych osobowych, aby złożyć zgłoszenie; pamiętaj jednak, że jeśli zgłosisz lukę anonimowo, nie będziemy mogli zadać Ci pytań uzupełniających, co może ograniczyć naszą zdolność do zbadania problemu. Formularz internetowy jest dostępny w języku angielskim i prowadzi Cię do podania kluczowych szczegółów, których potrzebujemy.

Plik Security.txt: utrzymujemy w naszej witrynie internetowej plik keenetic.com/security.txt, który zawiera nasze kontakty do zgłaszania luk w zabezpieczeniach i preferencje. Zgłaszający mogą odwołać się do tego pliku, aby uzyskać aktualne informacje na temat sposobu kontaktu z nami.

Przy składaniu zgłoszenia prosimy o podanie jak największej ilości szczegółów technicznych. Pomaga nam to w szybszej klasyfikacji i naprawie problemu. Sugerujemy podanie następujących szczegółów:

• Opis luki w zabezpieczeniach oraz jej potencjalnego wpływu. Co może osiągnąć atakujący? Które aspekty poufności/integralności/dostępności są zagrożone? Którego systemu w infrastrukturze IT Keenetic może dotyczyć problem (np. systemy korporacyjne Keenetic, system operacyjny, aplikacja, zdalne monitorowanie i zarządzanie, chmura i konto Keenetic)?

• Szczegółowe nazwy produktów, wersje i konfiguracje, których dotyczy problem. (W przypadku witryn internetowych lub usług należy podać adresy URL lub adresy IP; w przypadku sprzętu lub oprogramowania należy podać numery modeli lub wersji).

• Kroki umożliwiające odtworzenie problemu – np. jakie polecenia, dane wejściowe lub działania powodują uruchomienie luki w zabezpieczeniach. Bardzo pomocne są zrzuty ekranu lub kod potwierdzający słuszność koncepcji (PoC).

• Jeśli są znane, sugerowane środki zaradcze lub odniesienia do poprawek (opcjonalne, ale mile widziane).

• Twoje dane kontaktowe (imię lub pseudonim oraz bezpieczna metoda kontaktu), jeśli oczekujesz odpowiedzi. Możesz zgłosić problem anonimowo, ale wówczas nie będziemy mogli się z Tobą skontaktować w celu wyjaśnienia lub przekazania informacji o statusie.

Dane podawane dobrowolne: osoba zgłaszająca może dobrowolnie podać dane kontaktowe w celu koordynacji, ale nie jest to wymagane do przekazania danych umożliwiających identyfikację osobistą. Możesz skorzystać z naszego formularza anonimowego zgłaszania w witrynie internetowej.

Ⅲ. Czego oczekujemy od Ciebie – kodeks postępowania

Nagradzamy i uznajemy osiągnięcia osób zgłaszających luki w zabezpieczeniach wyłącznie w ramach niniejszej polityki CVD, pod warunkiem przestrzegania wysokich standardów uczciwości i odpowiedzialnego zachowania podczas wykrywania i zgłaszania luk. Dlatego nie tolerujemy następujących zachowań:

• Testowanie w dobrej wierze: osoby zgłaszające powinny przeprowadzać wyłącznie testy, które nie zakłócają działania i są niezbędne do potwierdzenia istnienia luki (potwierdzające słuszność koncepcji). Nie wolno celowo naruszać integralności danych użytkowników, zakłócać działania usług ani uszkadzać systemów.

• Niewykorzystywanie poza testowaniem: aktywne wykorzystywanie luki w zabezpieczeniach poza początkowym testem potwierdzającym słuszność koncepcji jest surowo zabronione. W szczególności nie wolno nadużywać luki w celu naruszenia integralności danych, zmiany konfiguracji, przechodzenia do innych systemów ani uzyskiwania trwałego dostępu do naszych systemów. Wystarczy wywołać problem, aby udowodnić jego istnienie – nie należy np. pobierać większej ilości danych niż jest to konieczne do wykazania wady. Jeśli natrafisz na poufne informacje (np. dane osobowe użytkowników, materiały zastrzeżone), natychmiast przerwij testowanie, zgłoś to nam i nie ujawniaj ani nie zatrzymuj tych informacji.

• Zakaz ataków socjotechnicznych i fizycznych: nie wolno stosować technik socjotechnicznych (phishing, podszywanie się pod inne osoby itd.) wobec naszych pracowników lub systemów ani przeprowadzać testów bezpieczeństwa fizycznego (np. prób uzyskania dostępu do naszych biur lub centrów danych). Niniejsza polityka dotyczy wyłącznie technicznych luk w zabezpieczeniach naszych produktów i infrastruktury, i nie obejmuje wektorów ataków socjotechnicznych ani fizycznych.

• Zakaz ataków typu odmowa usługi lub „brute force”: należy powstrzymać się od przeprowadzania ataków DoS/DDoS lub jakichkolwiek testów, które mogłyby pogorszyć dostępność naszych usług dla użytkowników, a także od ataków typu „brute force”. Chcemy uniknąć jakichkolwiek zakłóceń dla naszych klientów.

• Zakaz ataków na strony trzecie lub podmioty publiczne: nie wolno testować luk w usługach lub produktach stron trzecich, z których korzystamy (w takich przypadkach należy powiadomić bezpośrednio ich dostawców). Podobnie nie wolno testować systemów, które nie są naszą własnością ani nie są przez nas obsługiwane. Jeśli podczas badań przypadkowo uzyskasz dostęp do danych lub systemów innych podmiotów, powiadom nas i wstrzymaj dalsze działania. Nie wolno naruszać integralności danych ani manipulować danymi jakiejkolwiek strony trzeciej podczas badań.

• Poufność i wykorzystanie informacji: osoby zgłaszające zobowiązują się do zachowania poufności szczegółów luki w zabezpieczeniach i nie mogą publicznie ujawniać, sprzedawać ani w inny sposób rozpowszechniać kodu exploita lub szczegółów technicznych umożliwiających wykorzystanie luki, dopóki Keenetic nie opublikuje publicznego komunikatu lub nie wyrazi zgody na takie ujawnienie. Nie ogranicza to prawa osoby zgłaszającej do powiadamiania właściwych organów, krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub organów ścigania, jeśli jest to wymagane przez prawo lub natychmiastowe ujawnienie jest konieczne w celu zapobieżenia bezpośredniemu zagrożeniu.

• Okres naprawy: firma Keenetic powinna otrzymać rozsądny, uzależniony od stopnia zagrożenia czas na naprawę w celu zbadania oraz usunięcia luki w zabezpieczeniach i rozpowszechnienia aktualizacji zabezpieczeń. Jeśli Keenetic nie usunie luki lub nie zapewni wiarygodnego środka zaradczego w rozsądnym terminie, osoba zgłaszająca może powiadomić krajowy zespół CSIRT lub właściwy organ.

Jeśli osoba zgłaszająca przypadkowo naruszy część niniejszego kodeksu postępowania, zobowiązujemy się do rozpatrzenia każdej wykrytej luki w zabezpieczeniach w dobrej wierze i w miarę naszych możliwości; jednak taka osoba może nie otrzymać żadnych nagród.

Ⅳ. Nasze zobowiązania wobec Ciebie w przypadku zgłoszenia luki w zabezpieczeniach

Wszystkie przychodzące zgłoszenia są rozpatrywane w możliwie najlepszy sposób. Dlatego przy zgłaszaniu luki w zabezpieczeniach należy podać co najmniej jedną prawidłową opcję kontaktu. Oczywiście można zgłosić lukę anonimowo.

1. Odpowiedź

Po przesłaniu przez Ciebie zgłoszenia dotyczącego luki w zabezpieczeniach poinformujemy Cię o jego odebraniu. Będzie to osobista odpowiedź od naszego zespołu ds. bezpieczeństwa. Jeśli będziemy potrzebować wyjaśnień lub dodatkowych informacji, poprosimy o nie jak najszybciej. Pamiętaj, że w przypadku zgłoszeń anonimowych oczywiście nie możemy odpowiedzieć, ale przystąpimy do badania sprawy. W celu przesyłania poufnych informacji wymagamy podania przynajmniej adresu e-mail, aby można było użyć naszego klucza szyfrowania PGP, dostępnego pod adresem https://keenetic.com/pl/security/keenetic-security-pgp-public-key.asc

Po dalszej analizie zgłoszenia przekazujemy informację zwrotną, czy potwierdzamy lub odrzucamy zgłoszenie luki w zabezpieczeniach, przedstawiamy istotne zapytania w celu zrozumienia zgłoszonej luki lub wyjaśniamy, dlaczego badanie zgłoszonej luki trwa dłużej niż oczekiwano.

2. Poufna komunikacja

Zapewniamy, w zakresie dozwolonym przez prawo, że każde przychodzące zgłoszenie dotyczące luki w zabezpieczeniach jest traktowane poufnie, a Twoje dane osobowe nie zostaną ujawnione stronom trzecim bez Twojej jednoznacznej zgody.

Informacje wymagane do publicznego ujawnienia potwierdzonej i zweryfikowanej luki w zabezpieczeniach są ujawniane publicznie w zakresie, w jakim jesteśmy do tego zobowiązani przez prawo.

3. Anonimowe zgłaszanie (opcjonalne)

Możesz skorzystać z naszego formularza zgłoszeń anonimowych, dostępnego w witrynie internetowej.

Szanujemy Twoją wolę utrzymania anonimowości, prosimy jednak pamiętać, że zgłoszenia anonimowe mogą być przetwarzane jedynie w ograniczonym zakresie lub mogą w ogóle nie zostać rozpatrzone z powodu braku możliwości zadania pytań technicznych lub merytorycznych, szczególnie w przypadku złożonych problemów.

4. Komunikacja pełna szacunku i otwartości

Cała komunikacja będzie prowadzona w sposób profesjonalny, a my będziemy traktować Cię z szacunkiem. Oczekujemy takiej samej uprzejmości w zamian – nie tolerujemy żadnej dyskryminacji, nękania ani braku szacunku w komunikacji po żadnej ze stron.

Nasz zespół ds. bezpieczeństwa może skontaktować się z Tobą, aby zadać pytania pozwalające lepiej zrozumieć problem lub poprosić o odtwarzalne artefakty techniczne oraz instrukcje pozwalajace odtworzyć i naprawić lukę. Zachęcamy do zadawania pytań o aktualizacje w dowolnym momencie; traktujemy zapytania uzupełniające jako wyraz Twojego zaangażowania, a nie jako uciążliwość.

Ⅴ. Koordynacja i zakończenie ujawnienia

Zweryfikowane luki w zabezpieczeniach są publicznie ujawniane przez firmę Keenetic. Publiczne powiadomienie zawiera:

• Opis luki w zabezpieczeniach.

• Informacje pozwalające użytkownikom zidentyfikować produkty/wersje, których dotyczy problem.

• Wpływ i stwarzany poziom zagrożenia.

• Zrozumiałe instrukcje stosowania środków naprawczych lub poprawki.

Proces koordynowanego ujawniania luk w zabezpieczeniach uznaje się za zakończony, jeśli luka została złagodzona lub naprawiona za pomocą odpowiednich środków i została publicznie ujawniona lub wskazania raportu o podatności są bezpodstawne, a zatem raport może być przetwarzany tylko w ograniczonym zakresie lub wcale.

Uznajemy proces CVD za zakończony, gdy wystąpi jedno z poniższych zdarzeń:

• poprawka lub złagodzenie skutków zostało wdrożone, a publiczne ostrzeżenie opublikowane; lub

• zgłoszony problem został uznany za niezgodny z definicją luki w zabezpieczeniach (fałszywy alarm lub poza zakresem) i poinformowano o tym osobę zgłaszającą; lub

• nie jesteśmy w stanie odtworzyć problemu lub potrzebujemy więcej informacji, a zgłaszający nie odpowiada przez dłuższy czas (zazwyczaj 30 dni), w którym to przypadku sprawę zamykamy w oczekiwaniu na nowe informacje.

Informujemy zgłaszającego o zakończeniu procesu CVD, chyba że luka w zabezpieczeniach została zgłoszona anonimowo.

Ⅵ. Nagrody

Doceniamy wysiłki zgłaszających oraz innych osób, które prywatnie informują nas o lukach w zabezpieczeniach. Jako wyraz wdzięczności prowadzimy Program nagród za błędy. Zewnętrzni badacze bezpieczeństwa, którzy odpowiedzialnie zgłaszają luki zgodnie z niniejszą polityką, mogą otrzymać jako wyraz uznania nagrodę finansową. Wysokość nagrody jest ustalana indywidualnie na podstawie poziomu zagrożenia stwarzanego przez zgłoszoną lukę, zgodnie z naszymi Warunkami Programu nagród za błędy.

Ⅶ. Ochrona prawna

Przestrzegając niniejszej polityki CVD, Keenetic uznaje, że osoba zgłaszająca działa w ramach „działań badawczych prowadzonych w dobrej wierze” i nie będzie podejmować działań karnych przeciwko osobie zgłaszającej w związku z działalnością badawczą.

Keenetic („Keenetic”, „my”, „nas”) prowadzi program nagród za znalezione błędy („Program”). Program jest regulowany niniejszymi Warunkami programu nagród za znalezione błędy oraz Polityką koordynowanego ujawniania luk w zabezpieczeniach („Polityka CVD”). Łącznie dokumenty te stanowią wiążące warunki prawne Programu („Warunki”).

1. Omówienie Programu

(1) Celem Programu jest poprawa bezpieczeństwa naszych produktów oraz ochrona danych użytkowników poprzez wykorzystanie wiedzy ekspertów zewnętrznych zgodnie z naszymi Warunkami. Przesyłając zgłoszenie luki w zabezpieczeniach lub uczestnicząc w inny sposób, akceptujesz Warunki.

(2) W kontekście Warunków prawidłowa luka w zabezpieczeniach rozumiana jest jako słabość, wada lub problem związany z zabezpieczeniami, który bezpośrednio wpływa na infrastrukturę produktów Keenetic i może zostać wykorzystany. Wysokość nagrody jest ustalana indywidualnie na podstawie stopnia zagrożenia powodowanego przez zgłoszoną lukę w zabezpieczeniach.

(3) Decyzje Keenetic dotyczące Nagród za błędy są ostateczne i wiążące. Keenetic może zmienić lub zakończyć ten Program w dowolnym momencie i z dowolnego powodu.

2. Bezpieczna przystań

(1) Uznajemy działania przeprowadzone zgodnie z naszymi Warunkami za autoryzowane, co znaczy, że nie podejmiemy działań prawnych (cywilnych ani karnych) przeciwko Tobie za działania podejmowane w dobrej wierze w ramach Programu.

(2) Należy zauważyć, że niniejsze zapewnienie ma zastosowanie jedynie wówczas, gdy przestrzegasz Warunków Programu — nie możemy chronić Cię przed konsekwencjami prawnymi wynikającymi z działań stron trzecich lub organów władzy w przypadku działań wykraczających poza wskazany przez nas zakres. Oczekuje się, że zawsze będziesz przestrzegać obowiązujących przepisów oraz powstrzymasz się od działań wykraczających poza to, co jest dozwolone. W razie wątpliwości, czy dane działanie jest dozwolone zatrzymają się i skontaktuj się z nami (dane kontaktowe znajdują się w sekcji „Procedura zgłaszania luk w zabezpieczeniach i kodeks postępowania” w Polityce koordynowanego ujawniania luk w zabezpieczeniach Keenetic).

3. Zakres Programu

(1) Program obejmuje następujące produkty, usługi i witryny internetowe naszej organizacji („systemy objęte Programem”):

• Aplikacje internetowe: np. nasza oficjalna witryna internetowa i subdomeny, portale klienta oraz usługi online.
• Aplikacje mobilne/desktopowe: najnowsze wersje naszych aplikacji (Android, iOS, Windows) dystrybuowane za pośrednictwem oficjalnych sklepów z aplikacjami.
• Interfejsy API i infrastruktura: publicznie udokumentowane interfejsy API oraz usługi backendowe, których jesteśmy właścicielami.
• Urządzenia sprzętowe/IoT: wszelkie produkty sprzętowe wraz z ich oprogramowaniem sprzętowym.

(2) Do nagród kwalifikują się tylko luki w zabezpieczeniach, które bezpośrednio wpływają na te systemy objęte Programem. W przypadku wątpliwości, czy dany system jest objęty Programem skontaktuj się z nami przed rozpoczęciem testów. Możemy od czasu do czasu aktualizować zakres Programu (np. dodając nowe cele lub tymczasowo zawieszając niektóre systemy) – takie zmiany będą odnotowywane na stronie internetowej Programu.

(3) Dla uniknięcia wątpliwości, poniższe systemy są poza zakresem, a ich testowanie jest niedozwolone („systemy poza zakresem”):

• Usługi lub infrastruktura stron trzecich: luki w zabezpieczeniach platform stron trzecich, z których korzystamy (takich jak dostawcy chmury, narzędzia SaaS itd.) należy zgłaszać bezpośrednio do tych dostawców, a nie do nas. Ataki na naszych dostawców lub partnerów lub ich skanowanie są niedozwolone.
• Zasoby niebędące naszą własnością: wszelkie witryny internetowe, aplikacje lub systemy niewymienione wyraźnie jako objęte zakresem Programu (w tym domeny, które nie należą do naszej firmy).
• Ataki typu odmowa usługi: wszelkie ataki powodujące zakłócenia w świadczeniu usług (DoS/DDoS) lub typu brute-force, generujące duże liczby żądań lub prób zalogowania.
• Inżynieria społeczna i ataki fizyczne: manipulowanie naszymi pracownikami lub użytkownikami (poprzez phishing, vishing itd.) lub próby uzyskania fizycznego dostępu do biur są surowo zabronione. Program obejmuje wyłącznie techniczne luki w zabezpieczeniach.
• Naruszenia prywatności: dostęp do danych oraz kopiowanie lub modyfikowanie danych, które nie są Twoje. Na przykład pozyskiwanie danych osobowych innych użytkowników lub danych zastrzeżonych jest poza zakresem, nawet jeśli luka teoretycznie na to pozwala. Jeśli podczas testów napotkasz dane innej osoby, natychmiast przerwij działanie i zgłoś problem; nie kontynuuj przeglądania tych danych.

4. Warunki kwalifikujące do programu

(1) Program ten jest przeznaczony dla zewnętrznych badaczy zabezpieczeń. Aby wziąć udział i otrzymać jakąkolwiek nagrodę, musisz spełnić wszystkie poniższe kryteria kwalifikacyjne

a. Minimalny wiek
Musisz mieć ukończone 18 lat. Jeśli masz 14 lat lub więcej, ale nie ukończone 18 lat (lub nie jesteś osobą pełnoletnią w swoim kraju), musisz mieć zgodę rodzica lub opiekuna prawnego na udział w programie. Osoby poniżej 14 roku życia w żadnym przypadku nie są dopuszczone do udziału w Programie.

b. Zgoda osoby fizycznej lub organizacji
Możesz uczestniczyć indywidualnie lub w imieniu swojego pracodawcy. Jeśli zgłaszasz luki w ramach zatrudnienia lub korzystasz z zasobów pracodawcy, upewnij się, że pracodawca wyraża zgodę na udział w programach nagród za zgłoszenie błędów. Ponosisz odpowiedzialność za zapoznanie się z umowami o pracę lub zasadami obowiązującymi w Twojej organizacji.

c. Brak obecnych lub byłych pracowników/podwykonwaców
Pracownicy firmy Keenetic lub jej spółek zależnych są nieuprawnieni do udziału w Programie. Dotyczy to również osób, które zakończyły współpracę z nami w ciągu ostatnich 6 miesięcy, a także osób obecnie współpracujących z nami jako podwykonawcy, konsultanci lub stażyści mający dostęp do naszych systemów wewnętrznych. Członkowie najbliższej rodziny (małżonek, rodzice, dzieci, rodzeństwo) naszych pracowników również są nieuprawnieni. Ma to na celu zapewnienie uczciwości i uniknięcie konfliktu interesów.

d. Sektor publiczny
Jeśli jesteś pracownikiem sektora publicznego (np. administracji rządowej, organów ścigania, wojska lub sektora oświaty), możesz uczestniczyć wyłącznie w charakterze prywatnym, a nie w ramach obowiązków służbowych. Ponosisz odpowiedzialność za upewnienie się, że przyjęcie nagrody od nas nie narusza żadnych przepisów prawa lub zasad etyki obowiązujących w Twoim przypadku.

e. Wiele zgłoszeń i duplikaty
Jeśli ta sama luka w zabezpieczeniach zostanie zgłoszona przez wielu badaczy, tylko pierwsze odebrane przez nas zgłoszenie będzie kwalifikować się do Nagrody za błąd, pod warunkiem spełnienia naszych Warunków. Jeśli późniejsze zgłoszenie zawiera nowe informacje, o których nie wiedzieliśmy, możemy, według własnego uznania, przyznać częściową nagrodę późniejszemu zgłaszającemu. Należy pamiętać, że w chwili zgłoszenia możemy już być w trakcie naprawiania problemu; w takim przypadku poinformujemy Cię, a takie zgłoszenie może nie kwalifikować się do nagrody, jeśli uznamy problem za znany.

(2) Zastrzegamy sobie prawo do zdyskwalifikowania każdego uczestnika, który nie spełni tych kryteriów lub zostanie uznany za naruszającego intencje tych zasad. Nagrody za błędy nie będą wypłacane osobom znajdującym się na listach sankcyjnych lub którym ze względów prawnych nie możemy wypłacić wynagrodzenia. W przypadku pytań dotyczących warunków kwalifikacji lub w razie potrzeby uzyskania wyjaśnień skontaktuj się z nami.

5. Procedura zgłaszania luki w zabezpieczeniach i kodeks postępowania

(1) Zgodnie z kompleksowymi zapisami Polityki CVD Keenetic udostępnia wiele bezpiecznych kanałów do zgłaszania prawidłowych luk w zabezpieczeniach, takich jak

• poczta e-mail — security@keenetic.com,
• formularz zgłoszeniowy na stronie https://keenetic.com/security/anonymous-reporting-form oraz
• plik security.txt na sewerze naszej witryny internetowej.

(2) Zgłoszenia powinny zawierać wyczerpujące szczegóły techniczne, takie jak opis luki w zabezpieczeniach, jej potencjalny wpływ, systemy, których dotyczy, wersje produktów oraz, jeśli to możliwe, kroki umożliwiające odtworzenie problemu, uzupełnione o materiał dowodowy stanowiący dowód słuszności koncepcji.

(3) Dopuszcza się zgłoszenia anonimowe; mogą one jednak ograniczać możliwość dalszej komunikacji. Wszyscy zgłaszający są zobowiązani do przestrzegania naszego kodeksu postępowania określonego w Polityce CVD, który zabrania m.in. testów zakłócających, wykorzystywania luki w zabezpieczeniach wykraczające poza dowód słuszności koncepcji, ataków socjotechnicznych, ataków fizycznych, ataków typu odmowa usługi, prób metodą brute-force oraz ataków na systemy stron trzecich.

6. Nagrody

(1) Program oferuje Nagrody za błędy za kwalifikujące się i zweryfikowane zgłoszenia luk w zabezpieczeniach. Naszym celem jest uczciwe docenienie i wynagrodzenie badaczy zabezpieczeń odpowiednio do poziomu stwarzanego zagrożenia i wpływu ich odkryć, przy jednoczesnej przejrzystości w zakresie ustalania wysokości nagród.

(2) Klasyfikujemy zgłoszone luki w zabezpieczeniach na podstawie ich negatywnego wpływu i możliwości wykorzystania, dzieląc je na następujące kategorie poziomu zagrożenia: niski, średni, wysoki i krytyczny. Dla każdej kategorii ustaliliśmy typowe zakresy nagród (w dolarach amerykańskich). Typowa struktura nagród może być następująca:

(3) Wysokość nagrody w każdym indywidualnym przypadku jest ustalana wyłącznie według uznania Keenetic, gdy nasz zespół ds. bezpieczeństwa zweryfikuje zgłoszoną lukę i oceni poziom stwarzanego przez nią zagrożenia. Pod uwagę brane są czynniki takie jak klasyfikacja i wrażliwość danych, a także liczba systemów/danych, których luka dotyczy, łatwość jej wykorzystania oraz ogólne ryzyko dla naszych użytkowników i organizacji.

(4) Nagroda nie zostanie wypłacona w następujących przypadkach:
a. Brak flag Secure/HTTPOnly w przypadku plików cookie, które nie zawierają poufnych danych;
b. Zduplikowane zgłoszenia luk w zabezpieczeniach, w tym luk, które zostały już zidentyfikowane wewnętrznie;
c. Ataki przy użyciu zautomatyzowanego skanowania;
d. Ataki typu rozproszona odmowa usługi (DDoS) oraz odmowa usługi (DoS);
e. Błędy interfejsu użytkownika (UI), doświadczenia użytkownika (UX) oraz błędy ortograficzne, problemy z użytecznością;
f. Naruszenia licencji lub innych ograniczeń dotyczących produktów dostawców;
g. Luki w zabezpieczeniach będące wynikiem działania złośliwego oprogramowania;
h. Teoretyczne problemy z bezpieczeństwem, dla których nie istnieją realistyczne scenariusze wykorzystania lub powierzchnie ataku, lub problemy wymagające złożonych interakcji ze strony użytkownika końcowego w celu ich wykorzystania;
i. Luki uznane za mające wpływ poniżej poziomu P1;
j. Wykrycie używanej usługi, której wersja zawiera znane luki (np. określona wersja jądra Linux lub OpenSSL) bez demonstracji włamania, pozyskania informacji lub zakłócenia działania usługi z wykorzystaniem tej luki;
k. Wykorzystanie wyników jednej luki do stworzenia kolejnych exploitów w celu przetestowania normalnie niedostępnych funkcji, np. z wykorzystaniem wyciekających danych osobowych, jeżeli nie ma dowodów na to, że lukę można wykorzystać w większym stopniu;
l. Luki w oprogramowaniu i usługach stron trzecich.

(4) W przypadku naruszenia przez Uczestnika któregokolwiek z Warunków Keenetic może zmniejszyć nagrodę, wstrzymać ją lub zażądać zwrotu całości lub części wypłaconej lub należnej nagrody w związku z daną luką. Wysokość ewentualnego zmniejszenia będzie proporcjonalna do wagi naruszenia i może uwzględniać takie czynniki, jak charakter naruszenia, stopień winy oraz rzeczywistą lub potencjalną wyrządzoną szkodę.

7. Płatności

(1) Aby otrzymać płatność, należy podać nam niezbędne dane (takie jak metoda płatności, informacje podatkowe, jeśli są wymagane). Nagrody są zazwyczaj wypłacane w dolarach amerykańskich ($) lub, jeśli określimy, w innej walucie, takiej jak EUR – wyjaśnimy to w trakcie procesu przyznawania nagrody. Często możemy uwzględnić preferowaną walutę płatności według kursu wymiany w momencie wypłaty.

(2) Należy pamiętać, że Nagrody za błędy są zazwyczaj uznawane za dochód podlegający opodatkowaniu. Uczestnik ponosi wyłączną odpowiedzialność za uregulowanie wszelkich należnych w swojej jurysdykcji podatków z tytułu nagrody. Możemy poprosić o wypełnienie określonych formularzy podatkowych (szczególnie, jeśli znajdujesz się w innym kraju) przed dokonaniem płatności. Jeśli nie jesteś w stanie lub nie chcesz wypełnić wymaganych dokumentów, może to opóźnić lub uniemożliwić wypłatę.

8. Prawa autorskie

(1) Zachowujesz wszelkie prawa własności intelektualnej do swojego zgłoszenia. Jednakże, zgłaszając nam raport o luce, udzielasz nam niewyłącznej, wieczystej, nieodwołalnej, globalnej licencji bez opłat licencyjnych na wykorzystanie, modyfikację, testowanie, tworzenie dzieł pochodnych, udostępnianie i publikowanie informacji zawartych w Twoim zgloszeniu w celu usunięcia luki i poprawy bezpieczeństwa.

(2) Na przykład możemy wykorzystać dostarczony kod potwierdzający słuszność koncepcji do odtworzenia problemu, możemy ujawnić szczegóły stronie trzeciej, jeśli jest to konieczne (w celu koordynacji poprawki w składniku), oraz możemy uwzględnić istotne szczegóły w naszych publicznych komunikatach. Zgadzasz się również, że wszelkie materiały, które przekazujesz, są Twoim oryginalnym dziełem lub masz prawo do ich udostępnienia.

9. Ograniczenia dotyczące ujawniania

(1) Przeanalizujemy zgłoszoną przez Ciebie lukę w zabezpieczeniach i postaramy się ją usunąć tak szybko, jak to możliwe. Jeśli zechcesz opublikować szczegóły swoich ustaleń, najpierw skontaktuj się z nami w celu uzyskania zgody. Przez 30 dni od usunięcia luki wymagamy powstrzymania się od publikowania szczegółowego kodu potwierdzającego słuszność koncepcji oraz innych informacji, które mogłyby ułatwić ataki na nasze produkty cyfrowe. Keenetic poinformuje Cię, gdy zgłoszona przez Ciebie luka zostanie usunięta.

(2) Naruszenie niniejszego postanowienia może skutkować obowiązkiem zwrotu nagród przyznanych za lukę w zabezpieczeniach oraz wykluczeniem z dalszego uczestnictwa w programie.

10. Odpowiedzialność

(1) Nasza odpowiedzialność za naruszenie Warunków oraz za czyny niedozwolone jest ograniczona do umyślności i rażącego niedbalstwa.

(2) Ograniczenie odpowiedzialności, o którym mowa w ustępie 1, nie ma zastosowania do

a. szkody na osobie, ciele lub zdrowiu Uczestnika lub

b. roszczeń Uczestnika z tytułu naruszenia podstawowych obowiązków, tj. obowiązków wynikających z istoty Warunków, których naruszenie zagraża osiągnięciu celu Programu. W tym przypadku jednak nasza odpowiedzialność ogranicza się do odszkodowania za szkody przewidywalne i typowo występujące.

W takich przypadkach ponosimy odpowiedzialność za każdy stopień winy.

(3) Ponadto ograniczenie odpowiedzialności z ustępu 1 nie ma zastosowania, jeżeli wada została zatajona podstępnie.

(4) W zakresie, w jakim wyłączona jest nasza odpowiedzialność odszkodowawcza, dotyczy to również osobistej odpowiedzialności odszkodowawczej naszych pracowników, przedstawicieli i osób działających na naszą rzecz.

11. Różne

(1) W przypadku nieważności którejkolwiek z postanowień niniejszych Warunków ważność pozostałych postanowień pozostaje nienaruszona. Zamiast nieważnego postanowienia uznaje się za uzgodnione takie postanowienie, które w największym stopniu odpowiada celowi gospodarczemu nieważnego postanowienia.

(2) Niniejsze Warunki podlegają prawu Republiki Federalnej Niemiec i są interpretowane zgodnie z nim. Nie narusza to przepisów ustawowych ograniczających wybór prawa oraz stosowanie przepisów bezwzględnie obowiązujących, w szczególności tych obowiązujących w kraju, w którym Uczestnik jako konsument ma miejsce stałego zamieszkania.

(3) Jeżeli Uczestnik jest przedsiębiorcą, osobą prawną prawa publicznego lub publicznoprawnym funduszem specjalnym, miejscem właściwym dla wszystkich sporów wynikających z niniejszych Warunków jest Frankfurt nad Menem, Niemcy.

Identyfikator biuletynu: KEN-PSA-2026-WP01
Poziom zagrożenia: wysoki
Status: rozwiązano w KeeneticOS 5.0.4 i nowszych wersjach

Podsumowanie

W KeeneticOS zidentyfikowano lukę bezpieczeństwa, która umożliwia użytkownikowi z dostępem tylko do odczytu wyodrębnienie wewnętrznych informacji systemowych i wykorzystanie ich do podniesienia uprawnień do poziomu administratora. Luka ta wymaga wcześniejszego uwierzytelnienia się jako użytkownik z uprawnieniami tylko do odczytu, ale może być wykorzystana zdalnie.

Podatne produkty i konfiguracje

Produkty: routery Keenetic z wersjami KeeneticOS wcześniejszymi niż 5.0.4.

Wymóg wstępny konfiguracji: atakujący musi już mieć prawidłowe dane uwierzytelniające z uprawnieniami tylko do odczytu w interfejsie zarządzania urządzenia.

Szczegóły podatności

Podatność wynika z niewystarczającej izolacji wrażliwych danych konfiguracyjnych dostępnych dla kont z uprawnieniami tylko do odczytu. Użytkownik uwierzytelniony z uprawnieniami tylko do odczytu może pobrać określone parametry wewnętrzne z urządzenia. Po nawiązaniu połączenia parametry te umożliwiają atakującemu podniesienie uprawnień i uzyskanie dostępu administracyjnego do interfejsu zarządzania routerem.

Poziom zagrożenia (CVSS v3.1 — ocena analityka)

8,8 (wysoki) — AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Uzasadnienie: atak wymaga jedynie uwierzytelnionego dostępu z niskimi uprawnieniami, może być przeprowadzony zdalnie i prowadzi do pełnego naruszenia poufności, integralności oraz dostępności.

Środki zaradcze i wzmacnianie zabezpieczeń

Uaktualnienie: na wszystkich urządzeniach z wersjami KeeneticOS wcześniejszymi niż 5.0 przejdź na wersję 5.0.4 lub nowszą. Użyj najnowszej dostępnej wersji systemu operacyjnego dla swojego modelu.

Tymczasowe środki zaradcze: unikaj tworzenia lub przypisywania kont użytkowników z uprawnieniami tylko do odczytu do czasu zastosowania aktualizacji.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2025-WP01
Poziom zagrożenia: Wysoki
CWE: CWE-521 (Wymagania dotyczące słabych haseł)
Status: Rozwiązano w KeeneticOS 4.3 i nowszych

Podsumowanie

Przed wersją KeeneticOS 4.3 użytkownicy mogli ustawiać słabe hasła administratora i nadal otwierać interfejs www routera na Internet, co stanowiło wysokie ryzyko naruszenia bezpieczeństwa. Ostatnie wewnętrzne dochodzenia wykazały, że ta luka jest wykorzystywana przez zautomatyzowane skanery haseł na urządzeniach z najczęściej używanymi słabymi hasłami. Najnowsza wersja KeeneticOS 4.3 wymusza stosowanie silniejszych haseł i blokuje publiczny dostęp do interfejsu www, jeśli ustawione jest znane, złamane hasło.

Zidentyfikowaliśmy, że znaczna liczba użytkowników nadal korzysta ze słabych lub łatwych do odgadnięcia haseł. Stwarza to znaczne zagrożenia bezpieczeństwa, w tym nieautoryzowany dostęp, naruszenia danych i potencjalne zakłócenia w działaniu usług. Ochrona danych użytkowników jest naszym najwyższym priorytetem, a usunięcie tych luk jest niezbędne.

Aby wzmocnić ogólne bezpieczeństwo i zapewnić stałą ochronę danych użytkownika, zostanie wdrożona obowiązkowa aktualizacja oprogramowania dla urządzeń z systemem KeeneticOS w wersji wcześniejszej niż 4.3, zgodnie z artykułem 6 Umowy licencycyjnej użytkownika końcowego oraz unijną ustawą o cyberodporności (CRA). Ta aktualizacja zawiera ulepszone środki bezpieczeństwa, narzędzia wspierające tworzenie silniejszych haseł oraz krytyczne poprawki błędów, które poprawiają stabilność systemu i chronią konta użytkowników.

Serdecznie przepraszamy za wszelkie niedogodności spowodowane tą aktualizacją. Aby zminimalizować zakłócenia, staramy się wdrożyć ją poza standardowymi godzinami pracy. W razie pytań lub potrzeby uzyskania pomocy, prosimy o kontakt z naszym zespołem wsparcia.

Podatne produkty i konfiguracje

Produkty: Routery Keenetic z wersjami KeeneticOS wcześniejszymi niż 4.3.

Wymagania konfiguracyjne: Interfejs www routera musi być wystawiony na Internet, a zdalny dostęp do sieci musi być włączony.

Szczegóły podatności

Problem: Akceptowane są słabe hasła administratora, podczas gdy interfejs www jest dostępny z Internetu.

Wpływ: Pełne przejęcie administracyjne urządzenia, umożliwiające zmiany w konfiguracji, przechwytywanie/przekierowywanie ruchu, włączanie dodatkowych usług i możliwą dalszą penetrację sieci wewnętrznej.

Wektor: Zdalny (Internet); nie jest wymagane wcześniejsze uwierzytelnienie ani interakcja z użytkownikiem.

Czynniki sprzyjające: Wystawienie interfejsu administratora na Internet oraz słabe, łatwe do odgadnięcia poświadczenia.

Poziom zagrożenia (CVSS v3.1 — ocena analityka)

8.8 (Wysoki) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Uzasadnienie: Zdalna, nieuwierzytelniona ścieżka do kontroli administracyjnej, gdy dozwolone są słabe hasła; wpływ na dostępność jest drugorzędny w stosunku do poufności/integralności.

Środki zaradcze i wzmacnianie zabezpieczeń

Mechanizmy kontrolne platformy: Urządzenie automatycznie sprawdza, czy hasło administratora znajduje się na liście najczęściej używanych słabych haseł. W takim przypadku blokuje zdalny dostęp do interfejsu www i wykonywanie niestandardowego oprogramowania, a hasło można zmienić tylko z sieci lokalnej. Podczas wprowadzania nowego hasła urządzenie wymusza siłę hasła zgodnie z zaleceniami NIST SP 800-63B.

Aktualizacja: Przenieś wszystkie urządzenia z wersjami wcześniejszymi niż 4.3 do KeeneticOS 4.3 lub nowszej. Użyj najnowszego systemu operacyjnego dostępnego dla Twojego modelu.

Poświadczenia administratora: Używaj długich, unikalnych haseł. Zalecamy co najmniej 15 znaków lub wygenerowane hasło.

Ogranicz ekspozycję: Jeśli zdalny dostęp do interfejsu www nie jest absolutnie konieczny, wyłącz go. Użyj reguł zapory sieciowej, aby zezwolić na dostęp do interfejsu www urządzenia tylko z określonych adresów IP.

Monitoruj ataki: Zwracaj uwagę na powtarzające się nieudane logowania lub blokady, ponieważ mogą one wskazywać na atak typu brute-force.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2025-WA01
Poziom zagrożenia: Średni
CVE: CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
Status: Rozwiązano w KeeneticOS 4.3 i nowszych

Firma Keenetic otrzymała i zweryfikowała zgłoszenia trzech poważnych luk w zabezpieczeniach, które dotyczą wszystkich wersji KeeneticOS starszych niż 4.3. Niezależny badacz bezpieczeństwa odpowiedzialnie ujawnił te luki, które zostały już usunięte w najnowszym stabilnym wydaniu.

Luki są identyfikowane jako CVE-2025-56007, CVE-2025-56008, CVE-2025-56009.

CVE-2025-56007 — wstrzyknięcie CRLF w punkcie końcowym API /auth:
Luka w zabezpieczeniach polegająca na wstrzyknięciu CRLF w punkcie końcowym API /auth może pozwolić zdalnym atakującym na manipulowanie nagłówkami HTTP i wstrzykiwanie nieautoryzowanych poleceń. Atakujący mogą dodawać nowych użytkowników administracyjnych i przejmować kontrolę nad urządzeniem, nakłaniając ofiarę do otwarcia specjalnie spreparowanej strony.

CVE-2025-56008 — Cross-Site Scripting (XSS) na stronie „Połączenie bezprzewodowe”:
Atakujący mogą wykorzystać lukę XSS na stronie konfiguracji „Połączenie bezprzewodowe”, rozgłaszając specjalnie przygotowany identyfikator SSID zawierający złośliwy skrypt. Gdy użytkownik skanuje dostępne sieci za pomocą interfejsu www, skrypt jest wykonywany w kontekście sesji administratora, umożliwiając atakującemu przejęcie kontroli nad urządzeniem.

CVE-2025-56009 — Cross-Site Request Forgery (CSRF) w punkcie końcowym API /rci:
Luka CSRF w punkcie końcowym API /rci może pozwolić atakującym na wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Nakłaniając ofiarę do odwiedzenia złośliwej strony, atakujący mogą po cichu dodawać użytkowników z pełnymi uprawnieniami i przejąć kontrolę nad urządzeniem.

Urządzenia potencjalnie podatne na ataki:
Wszystkie modele Keenetic z indeksem „KN”, wydane od 2017 roku.

Poziom zagrożenia:
Poziom zagrożenia jest oceniany jako średni, ponieważ użytkownik musi być zalogowany do interfejsu www routera podczas ataku. Atak na stronę „Połączenie bezprzewodowe” wymaga również, aby atakujący znajdował się w pobliżu urządzenia.

Wersje oprogramowania sprzętowego, których dotyczy problem:
Wszystkie wersje KeeneticOS do wersji 4.2.

Rozwiązanie:
Wszystkim użytkownikom zdecydowanie zalecane jest zaktualizowanie oprogramowania sprzętowego urządzeń Keenetic do najnowszej stabilnej wersji, KeeneticOS 4.3, która zawiera poprawki dla tych luk. Aktualizacje oprogramowania sprzętowego można przeprowadzić za pośrednictwem interfejsu www urządzenia lub aplikacji mobilnej Keenetic.

Podziękowania:
Dziękujemy niezależnemu badaczowi za odpowiedzialne ujawnienie i wkład w poprawę bezpieczeństwa produktów Keenetic.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2025-WD01
Poziom zagrożenia: Średni
CVE: CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
Status: Rozwiązano w KeeneticOS 4.3.2 i nowszych

Firma Keenetic jest świadoma istnienia luki „Arbitrary Packet Injection” w sterowniku Wi-Fi AP, zgłoszonej przez producenta chipsetu, firmę Mediatek, Inc. Możliwe jest wstrzyknięcie dowolnego pakietu z powodu braku sprawdzania uprawnień. Może to prowadzić do zdalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonania. Interakcja użytkownika nie jest potrzebna do wykorzystania luki.

Producent chipsetu zgłosił również dodatkowe luki w zabezpieczeniach, takie jak możliwy zapis poza zakresem z powodu nieprawidłowego sprawdzania granic. Może to prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonania.

Luki są identyfikowane jako CVE-2025-20674, CVE-2025-20685, CVE-2025-20686.

Urządzenia potencjalnie podatne na ataki:
Wszystkie modele Keenetic z indeksem „KN”, wydane od 2017 roku, są oparte na chipsetach Wi-Fi firmy Mediatek: MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Wersje oprogramowania sprzętowego, których dotyczy problem:
Wszystkie wersje KeeneticOS do wersji 4.3.1 włącznie.

Poziom zagrożenia:
Poziom zagrożenia jest oceniany jako średni, ponieważ atakujący musi znajdować się w niewielkiej odległości od urządzenia docelowego.

Rozwiązanie:
KeeneticOS 4.3.2 zawiera niezbędne poprawki usuwające te luki w zabezpieczeniach. Ta aktualizacja ma zastosowanie do wszystkich modeli Keenetic, których dotyczy problem. Zdecydowanie zalecamy użytkownikom aktualizację oprogramowania KeeneticOS ich urządzeń do najnowszej wersji dostępnej online. Firma Keenetic rozpoczęła już wprowadzanie automatycznych aktualizacji na urządzeniach, które mają włączoną opcję automatycznej aktualizacji.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2025-CS01
Poziom zagrożenia: Średni
Status: Rozwiązany

W świetle nowo odkrytych informacji firma Keenetic Limited informuje użytkowników aplikacji mobilnej Keenetic, którzy zarejestrowali się przed 16 marca 2023 r., że integralność części danych ich aplikacji mobilnej mogła zostać naruszona w wyniku nieautoryzowanego dostępu do bazy danych.

Rankiem 15 marca 2023 r. zostaliśmy poinformowani przez niezależnego badacza bezpieczeństwa IT o możliwości nieautoryzowanego dostępu do bazy danych aplikacji mobilnej Keenetic. Po zweryfikowaniu charakteru i wiarygodności zagrożenia natychmiast rozwiązaliśmy problem po południu 15 marca 2023 r. Badacz bezpieczeństwa IT zapewnił nas, że nie udostępnił nikomu żadnych danych i zniszczył je. Od tego czasu, aż do końca lutego 2025 r., nie mieliśmy żadnych sygnałów wskazujących na naruszenie integralności bazy danych ani na to, że którykolwiek z użytkowników został dotknięty tym problemem.

28 lutego 2025 r. dowiedzieliśmy się, że niektóre informacje z bazy danych zostały ujawnione niezależnemu serwisowi medialnemu. W związku z tym ustaliliśmy, że nie możemy już zagwarantować, że dane zostały prawidłowo zniszczone, a niektóre informacje mogą być teraz poza naszą kontrolą.

Ze względu na charakter danych, które mogły zostać ujawnione, oceniamy jednak ryzyko oszukańczej działalności jako niskie.

Dostępna była ograniczona liczba pól bazy danych: identyfikatory Keycloak, adresy e-mail (loginy) i nazwy kont Keenetic, ustawienia regionalne; konfiguracje kont użytkowników urządzeń, w tym skróty haseł MD5 i NT; niestandardowe nazwy KeenDNS; konfiguracje interfejsów sieciowych, w tym identyfikatory SSID sieci Wi-Fi i klucze wspólne; ustawienia kanałów Wi-Fi, identyfikatory i klucze roamingu; zasady protokołu IP i ustawienia kształtowania ruchu; adresy zdalnych hostów, loginy i hasła klientów VPN, przypisane adresy IP; nazwy i adresy MAC zarejestrowanych hostów; konfiguracje IPsec site-to-site; konfiguracje serwera IPsec Virtual-IP; ustawienia puli DHCP; ustawienia NTP; listy dostępu IP i MAC.

Według naszej najlepszej wiedzy, żadne inne dane nie były dostępne. W szczególności niedostępne były dane RMM, dane konta Keenetic, klucze prywatne i konfiguracje tuneli VPN Wireguard oraz dane OpenVPN.

Keenetic nie gromadzi, nie przechowuje ani nie analizuje danych dotyczących kart płatniczych, ani powiązanych z nimi poświadczeń, danych transakcyjnych, danych bankowych, ani haseł bankowych. W związku z tym dane te nie zostały naruszone.

Użytkownikom aplikacji mobilnej Keenetic zalecamy zmianę następujących haseł i kluczy wspólnych:

- Hasła kont użytkowników urządzeń Keenetic (link do instrukcji);

- Hasła do sieci Wi-Fi (link do instrukcji);

- Hasła/klucze wspólne klienta VPN dla protokołów: PPTP/L2TP (link do instrukcji), L2TP/IPSec (link do instrukcji), IPSec Site-to-Site (link do instrukcji), SSTP (link do instrukcji).

Jesteśmy głęboko przekonani, że nieautoryzowany dostęp nastąpił bez jakichkolwiek oszukańczych lub złośliwych zamiarów, a informacje z bazy danych nie są publicznie dostępne, niemniej jednak odpowiednie powiadomienie zostało wysłane do właściwego organu ochrony danych.

Przepraszamy za wszelkie niedogodności i potwierdzamy, że podjęto wszelkie niezbędne działania, aby zapobiec podobnej sytuacji w przyszłości.

Bezpieczeństwo ma dla nas najwyższy priorytet i pragniemy zapewnić chronione i kontrolowane środowisko w celu ochrony sieci i danych naszych użytkowników. Nieustannie pracujemy nad ulepszaniem naszego systemu operacyjnego, aplikacji i infrastruktury chmurowej. Dzięki regularnym aktualizacjom nieustannie poprawiamy wydajność i bezpieczeństwo, aby nasze oprogramowanie było zawsze aktualne.

W razie jakichkolwiek pytań prosimy o kontakt z odpowiednim zespołem pomocy technicznej.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2024-ED01
CVE: CVE-2024-4021, CVE-2024-4022
Poziom zagrożenia: Niski
Status: Rozwiązano w KeeneticOS 4.3 i nowszych

Firma Keenetic została wcześnie powiadomiona i jest w pełni świadoma istnienia luk w zabezpieczeniach CVE-2024-4021 i CVE-2024-4022.

Urządzenia potencjalnie podatne na ataki:
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Wersje oprogramowania sprzętowego, których dotyczy problem:
Wszystkie wersje KeeneticOS do wersji 4.1.2.15 włącznie.

Wyjaśnienie zgłoszonych luk w zabezpieczeniach:
1. CVE-2024-4022 odnosi się do zgłoszonego ujawnienia informacji przeznaczonych do publicznego udostępnienia. Wyświetlanie nazwy modelu i wersji oprogramowania sprzętowego w interfejsie www jest celowe i nie jest uważane za lukę w zabezpieczeniach. Nazwa modelu jest jawnie wyświetlana w interfejsie użytkownika, a wersję oprogramowania sprzętowego można łatwo oszacować ze względu na częste aktualizacje, które w widoczny sposób zmieniają interfejs.
2. CVE-2024-4021 nie umożliwia zdalnego dostępu, kontroli ani wycieku prywatnych informacji użytkownika. Zamiast tego pozwala atakującemu zidentyfikować, które składniki oprogramowania (np. WPA3-E, WireGuard, OpenVPN) są zainstalowane na routerze. Co ważne, ta luka nie wskazuje, czy owe składniki są aktywne lub włączone. Nie ujawnia również, czy określona usługa jest świadczona zewnętrznie (na przykład usługa WireGuard może być dostępna poprzez przekierowanie portów, a nie zainstalowana na samym routerze). Po konsultacji z niezależnym badaczem bezpieczeństwa firma Keenetic sklasyfikowała tę lukę jako ujawnienie informacji o niskim ryzyku. Oznacza to, że nie zagraża ona bezpośrednio urządzeniu ani informacjom użytkownika.

Poziom zagrożenia:
Dotkliwość ujawnienia nadmiernych informacji o urządzeniu i systemie operacyjnym jest uważana za niską.

Rozwiązanie:
Ze względu na niskie ryzyko związane z tymi lukami firma Keenetic zajmie się tymi problemami w następnej aktualizacji KeeneticOS. Poprawka zostanie zawarta w KeeneticOS w wersji 4.3, której wydanie zaplanowano na połowę 2025 roku. Pilna aktualizacja nie jest wymagana.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

Identyfikator biuletynu: KEN-PSA-2021-WD01
Poziom zagrożenia: Średni
CVE: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
Status: Rozwiązano w KeeneticOS 3.6.6 i nowszych

Firma Keenetic jest świadoma istnienia luk w zabezpieczeniach sieci Wi-Fi, znanych jako FragAttacks (ataki polegające na fragmentacji i agregacji). Szczegółowe informacje można znaleźć na stronie https://www.fragattacks.com.

Zidentyfikowano następujące luki w zabezpieczeniach:
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Urządzenia potencjalnie podatne na ataki:
Wszystkie modele Keenetic z indeksem „KN”, wydane od 2017 roku.

Wersje oprogramowania sprzętowego, których dotyczy problem:
Wszystkie wersje KeeneticOS do wersji 3.6.5 włącznie.

Poziom zagrożenia:
Poziom zagrożenia związany z atakami FragAttacks jest oceniany jako średni, z szerokim wpływem na prawie wszystkie urządzenia Wi-Fi od 1997 roku. Luki mogą potencjalnie prowadzić do ujawnienia informacji i eskalacji uprawnień. Ich wykorzystanie jednak nie jest proste i wymaga, aby atakujący znajdował się w niewielkiej odległości od urządzenia docelowego.

Rozwiązanie:
KeeneticOS w wersji 3.6.6 zawiera niezbędne poprawki usuwające te luki w zabezpieczeniach sieci Wi-Fi. Ta aktualizacja dotyczy wszystkich modeli urządzeń Keenetic, których dotyczy problem. Zdecydowanie zalecamy użytkownikom aktualizację oprogramowania KeeneticOS ich urządzeń do najnowszej wersji dostępnej online. Firma Keenetic rozpoczęła już wprowadzanie automatycznych aktualizacji na urządzeniach, które mają włączoną opcję automatycznej aktualizacji.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.