De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft woensdag een kritieke fout die van invloed is op ASUS Live Update toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid, bijgehouden als CVE-2025-59374 (CVSS-score: 9,3), is beschreven als een ‘ingebedde kwetsbaarheid voor kwaadaardige code’ die is geïntroduceerd door middel van een compromis in de toeleveringsketen waardoor aanvallers onbedoelde acties kunnen uitvoeren.
“Bepaalde versies van de ASUS Live Update-client werden gedistribueerd met ongeoorloofde wijzigingen die werden geïntroduceerd via een compromis in de supply chain”, aldus een beschrijving van de fout gepubliceerd op CVE.org. “De gewijzigde builds kunnen ervoor zorgen dat apparaten die aan specifieke targetingvoorwaarden voldoen, onbedoelde acties uitvoeren. Alleen apparaten die aan deze voorwaarden voldeden en de gecompromitteerde versies installeerden, werden getroffen.”
Het is vermeldenswaard dat de kwetsbaarheid verwijst naar de supply chain-aanval die in maart 2019 aan het licht kwam, toen ASUS erkende dat een Advanced Persistent Threat (APT)-groep erin slaagde enkele van zijn servers binnen te dringen als onderdeel van een campagne met de codenaam Operation ShadowHammer van Kaspersky. De activiteit zou tussen juni en november 2018 hebben plaatsgevonden.
Het Russische cyberbeveiligingsbedrijf zei dat het doel van de aanvallen was om een onbekende groep gebruikers “chirurgisch te targeten” wier machines werden geïdentificeerd aan de hand van de MAC-adressen van hun netwerkadapters. De getrojaniseerde versies van de artefacten werden ingebed met een hardgecodeerde lijst van meer dan 600 unieke MAC-adressen.
“Een klein aantal apparaten is geïmplanteerd met kwaadaardige code via een geavanceerde aanval op onze Live Update-servers in een poging zich te richten op een zeer kleine en specifieke gebruikersgroep”, merkte ASUS destijds op. Het probleem is opgelost in versie 3.6.8 van de Live Update-software.
De ontwikkeling komt een paar weken nadat ASUS formeel heeft aangekondigd dat de Live Update-client vanaf 4 december 2025 het einde van de ondersteuning (EOS) heeft bereikt. De laatste versie is 3.6.15. Als gevolg hiervan heeft CISA er bij de agentschappen van de Federal Civilian Executive Branch (FCEB) die nog steeds op het instrument vertrouwen, op aangedrongen om het gebruik ervan vóór 7 januari 2026 stop te zetten.
“ASUS zet zich in voor softwarebeveiliging en biedt consequent realtime updates om apparaten te helpen beschermen en verbeteren”, aldus het bedrijf op een ondersteuningspagina. “Automatische, realtime software-updates zijn beschikbaar via de ASUS Live Update-applicatie. Update de ASUS Live Update naar versie V3.6.8 of hoger om beveiligingsproblemen op te lossen.”
