A agência americana de cibersegurança Cybersecurity and Infrastructure Security Agency (CISA) incluiu nesta quarta-feira uma falha crítica no ASUS Live Update em seu catálogo Known Exploited Vulnerabilities (KEV), com base em evidências de exploração ativa.
A vulnerabilidade, identificada como
CVE-2025-59374
e com nota 9,3 no CVSS, é classificada como uma falha de “código malicioso embutido” originada por um comprometimento na cadeia de suprimentos.
Esse ataque pode permitir que invasores executem ações não autorizadas nos dispositivos afetados.
Conforme a descrição oficial no CVE.org, “certas versões do cliente ASUS Live Update foram distribuídas com modificações não autorizadas introduzidas por meio de um comprometimento na cadeia de suprimentos”.
As versões comprometidas podem levar dispositivos específicos a realizar ações indesejadas.
Apenas máquinas que atenderam aos critérios de alvo e receberam essas versões foram afetadas.
Importante destacar que essa vulnerabilidade está relacionada a um ataque na cadeia de suprimentos revelado inicialmente em março de 2019.
Na ocasião, a ASUS confirmou que um grupo de ameaças persistentes avançadas (APT) invadiu alguns de seus servidores durante a Operação ShadowHammer, detectada pela Kaspersky.
As atividades aconteceram entre junho e novembro de 2018.
A empresa russa de segurança explicou que o objetivo era um “alvo cirúrgico” num grupo restrito de usuários identificados pelo endereço MAC dos adaptadores de rede.
As versões do software infectado continham uma lista com mais de 600 endereços MAC únicos embutidos.
Na época, a ASUS afirmou: “Um pequeno número de dispositivos foi infectado com código malicioso após um ataque sofisticado ao nosso servidor Live Update, visando um grupo muito restrito e específico de usuários”.
O problema foi corrigido na versão 3.6.8 do software.
O anúncio ocorre semanas após a ASUS informar que o cliente Live Update atingirá o fim do suporte (End of Support - EOS) em 4 de dezembro de 2025, com a última versão sendo a 3.6.15.
Por isso, a CISA recomendou que agências do Federal Civilian Executive Branch (FCEB) que ainda utilizam a ferramenta descontinuem seu uso até 7 de janeiro de 2026.
“A ASUS está comprometida com a segurança de seus softwares e oferece atualizações em tempo real para proteger e aprimorar seus dispositivos”, informa uma página de suporte da empresa.
“Atualizações automáticas e em tempo real estão disponíveis via aplicativo ASUS Live Update.
Recomendamos atualizar para a versão 3.6.8 ou superior para eliminar riscos de segurança.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...