Tausende Besitzer von Keenetic-Routern berichten, dass ihre Geräte ein Firmware-Update erhalten haben, obwohl die automatische Aktualisierung explizit deaktiviert war. Der Hersteller hat inzwischen bestätigt, dass es sich um ein gezieltes, erzwungenes Update von KeeneticOS handelt, ausgelöst durch eine als kritisch eingestufte Sicherheitslücke, die Heim- und Buero-Netzwerke gefährden kann.
Kritische CWE-521-Schwachstelle in KeeneticOS vor Version 4.3
Im Sicherheitsbulletin KEN-PSA-2025-WP01 informiert Keenetic über eine Schwachstelle des Typs CWE-521 (Weak Password Requirements) in KeeneticOS-Versionen unter 4.3. Die Lücke wurde mit CVSS 8,8 bewertet und fällt damit in die Kategorie „hoch kritisch“.
Der Kern des Problems: Das System erlaubte es, sehr schwache Administrator-Passwörter zu setzen und gleichzeitig den Web-Konfigurator aus dem Internet erreichbar zu machen. In Kombination mit aktiviertem Remote-Webzugriff entsteht so ein ideales Ziel für automatisierte Passwort-Angriffe und die vollständige Übernahme des Routers.
Laut Hersteller sind für eine erfolgreiche Attacke im Wesentlichen zwei Bedingungen erforderlich: Der Web-Admin-Zugang muss aus dem Internet erreichbar und die Option für ferngesteuerten Webzugriff aktiviert sein. Gerade in Heim- und kleinen Buero-Umgebungen ist diese Konfiguration verbreitet, etwa für Fernwartung, DynDNS-Zugriffe oder den Support durch Dienstleister.
Wie Angreifer schwache Router-Passwörter ausnutzen
Interne Analysen von Keenetic zeigen, dass die Schwachstelle aktiv von automatisierten Passwort-Scannern ausgenutzt wurde. Solche Systeme scannen systematisch IP-Bereiche und testen häufig verwendete oder leicht zu erratende Zugangsdaten. Laut öffentlich verfügbaren Berichten wie dem Verizon Data Breach Investigations Report und der ENISA Threat Landscape gehören schwache und wiederverwendete Passwörter seit Jahren zu den häufigsten Ursachen für Kompromittierungen.
Ein erfolgreicher Angriff auf den Router ist sicherheitstechnisch deutlich gravierender als ein verlorenes Passwort für ein einzelnes Online-Konto. Ein Angreifer mit Administrator-Rechten kann unter anderem:
– die Router-Konfiguration verändern, etwa DNS-Einträge manipulieren;
– Datenverkehr umleiten und so unbemerkt auf Phishing- oder Malware-Seiten führen;
– zusätzliche Dienste wie VPN, Proxy oder Tunnel aktivieren, um seine Aktivitäten zu verschleiern;
– den Router als Einstiegspunkt nutzen, um sich seitlich durch das lokale Netz zu bewegen und weitere Systeme wie PCs, Kameras oder IoT-Geräte zu kompromittieren.
KeeneticOS 4.3: Strengere Passwort-Policies und Zugriffsschutz
Mit KeeneticOS 4.3 hat der Hersteller nach eigenen Angaben mehrere Schutzmechanismen eingeführt, um die CWE-521-Schwachstelle zu schließen. Dazu gehören strengere Anforderungen an Administrator-Passwörter und zusätzliche Kontrollen beim Remote-Zugriff.
Die neue Firmware erzwingt robustere, schwer zu erratende Passwörter und kann den Webzugriff aus dem Internet blockieren, wenn ein als kompromittiert bekanntes oder offensichtlich schwaches Passwort erkannt wird. Auf diese Weise soll die automatisierte Ausnutzung der Lücke weitgehend verhindert werden.
Nutzern wird dringend empfohlen, alle Router mit KeeneticOS-Versionen unter 4.3 zu aktualisieren, nicht benötigten Remote-Webzugang zu deaktivieren und lange, einzigartige Passphrasen (mindestens 15 Zeichen) einzusetzen, idealerweise in Kombination mit einem Passwortmanager.
Zwangsupdate sorgt für Debatte: Sicherheit vs. Nutzerkontrolle
Brisant ist weniger das Vorhandensein der Schwachstelle als die Art und Weise, wie sie geschlossen wurde. Zahlreiche Anwender stellten fest, dass ihre Keenetic-Router ein Update erhielten, obwohl die Option für automatische Aktualisierungen in der Oberfläche deaktiviert war. In offiziellen Community-Kanälen bestätigte Keenetic ein bewusstes Zwangsupdate, das ausschließlich zum Schließen dieser Sicherheitslücke ausgerollt worden sei.
Ein Teil der Community kritisiert dieses Vorgehen deutlich. In Foren und Telegram-Gruppen wird gefordert, Nutzern wieder die vollständige Kontrolle über Firmware-Updates zu überlassen und jede Form erzwungener Aktualisierung abschaltbar zu machen. Einige Anwender sehen in der Möglichkeit des Herstellers, Geräte trotz lokaler Einstellungen zu ändern, sogar einen potenziellen Hinweis auf eine Backdoor.
Expertenperspektive: Wann sind erzwungene Patches vertretbar?
Aus Sicht der Cybersicherheit sind erzwungene Sicherheitsupdates bei kritischen Schwachstellen kein Einzelfall. Moderne Betriebssysteme, Mobilplattformen und zahlreiche IoT-Geräte nutzen ähnliche Mechanismen, weil ein großer Teil der Nutzer verfügbare Patches entweder sehr spät oder gar nicht installiert. Ungepatchte Router bilden dann ein lohnendes Ziel für Botnetze und Massenangriffe.
Gleichzeitig sind Transparenz und eine klar definierte Update-Policy entscheidend. Hersteller sollten offenlegen, in welchen Ausnahmefällen sie lokale Einstellungen übersteuern dürfen, ob ein vollständiger Verzicht auf Fernverwaltung möglich ist, welche Aktionen protokolliert werden und wie der Zugriff auf die Update-Infrastruktur abgesichert wird. Nur so lassen sich Sicherheitsinteressen und digitaler Gestaltungsspielraum der Nutzer in Einklang bringen.
Empfohlene Schutzmaßnahmen für Heim- und Buero-Router
Unabhängig vom konkreten Produkt gelten für alle Router-Besitzer einige grundlegende Best Practices:
– Firmware regelmäßig auf Updates prüfen und Sicherheits-Patches zeitnah einspielen;
– Remote-Webzugriff und Administration über das Internet deaktivieren, wenn sie nicht zwingend erforderlich sind;
– für jede Verwaltungsoberfläche lange, eindeutige Passwörter verwenden und diese nicht wiederverwenden;
– nach Möglichkeit das Heimnetz segmentieren, etwa indem IoT-Geräte in ein separates WLAN ausgelagert werden;
– bei der Auswahl von Netzwerk-Hardware auf transparente Sicherheitsrichtlinien und gute Dokumentation achten.
Die aktuelle Situation rund um Keenetic macht deutlich, dass Router längst zu einem kritischen Baustein der persönlichen IT-Infrastruktur geworden sind. Wer seine Geräte regelmäßig überprüft, Updates bewusst verwaltet und starke Authentifizierung einsetzt, reduziert das Risiko erheblich, Teil eines Angriffs oder Botnetzes zu werden. Es lohnt sich, die eigene Netzwerkumgebung jetzt zu überprüfen, Sicherheitsfunktionen konsequent zu nutzen und das Thema Passwort-Sicherheit nicht als Detail, sondern als zentrale Säule der digitalen Hygiene zu behandeln.
