Η CISA πρόσθεσε μια νέα ευπάθεια της ASUS στον κατάλογό της Γνωστές Εκμεταλλευόμενες Ευπάθειες (KEV), σηματοδοτώντας τον επείγοντα κίνδυνο για τους επηρεαζόμενους χρήστες και οργανισμούς.
Το ελάττωμα, που εντοπίζεται ως CVE-2025-59374, επηρεάζει το ASUS Live Update, ένα βοηθητικό πρόγραμμα που χρησιμοποιείται συνήθως για την παροχή ενημερώσεων υλικολογισμικού και λογισμικού σε συσκευές ASUS.
Σύμφωνα με την προειδοποίηση, συγκεκριμένοι πελάτες του ASUS Live Update διανεμήθηκαν με ενσωματωμένο κακόβουλο κώδικα αφού οι εισβολείς εισήγαγαν μη εξουσιοδοτημένες τροποποιήσεις μέσω ενός συμβιβασμού στην αλυσίδα εφοδιασμού.
Αυτές οι τροποποιημένες εκδόσεις μπορούν να αναγκάσουν συσκευές που πληρούν συγκεκριμένες συνθήκες στόχευσης να εκτελούν ανεπιθύμητες ενέργειες.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-59374 |
| Προϊόν που επηρεάζεται | Ενημέρωση ASUS Live |
| Τύπος ευπάθειας | Ενσωματωμένος κακόβουλος κώδικας |
| Σχετικό CWE | CWE-506 |
| Διάνυσμα επίθεσης | Συμβιβασμός εφοδιαστικής αλυσίδας |
| Σύγκρουση | Απρόσκοπτες ενέργειες συσκευής, πιθανή ανάπτυξη κακόβουλου λογισμικού |
| Κατάσταση προϊόντος | Τέλος ζωής (EoL) / Τέλος υπηρεσίας (EoS) |
Δυνητικά επιτρέποντας στους εισβολείς να αποκτήσουν τον έλεγχο, να αναπτύξουν κακόβουλο λογισμικό ή να παραβιάσουν περαιτέρω περιβάλλοντα θυμάτων.
Η ακριβής λογική στόχευσης δεν έχει δημοσιοποιηθεί λεπτομερώς. Ωστόσο, η παρουσία προσαρμοσμένων συνθηκών υποδηλώνει μια εστιασμένη και δυνητικά προηγμένη εκστρατεία.
Η CISA σημειώνει ότι το επηρεαζόμενο προϊόν μπορεί να είναι ήδη στο τέλος του κύκλου ζωής του (EoL) ή στο τέλος της υπηρεσίας (EoS). Αυτό αυξάνει τον κίνδυνο επειδή τέτοια προϊόντα συχνά δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας.
Ως αποτέλεσμα, ο οργανισμός συμβουλεύει τους χρήστες και τους οργανισμούς να διακόψουν τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα αποτελεσματικά μέτρα αντιμετώπισης.
Η ευπάθεια σχετίζεται με το CWE-506 (Embedded Malicious Code), μια κατηγορία αδυναμίας που καλύπτει σενάρια όπου κακόβουλο περιεχόμενο εισάγεται σε κατά τα άλλα νόμιμο λογισμικό.
Αυτό το είδος συμβιβασμού στην αλυσίδα εφοδιασμού είναι επικίνδυνο επειδή καταχράται την εμπιστοσύνη στους μηχανισμούς ενημέρωσης προμηθευτών και μπορεί να επεκταθεί γρήγορα σε πολλά συστήματα.
Προς το παρόν είναι άγνωστο εάν το CVE-2025-59374 χρησιμοποιείται σε καμπάνιες ransomware. Η ένταξή του στο Κατάλογος KEV σημαίνει ότι έχει παρατηρηθεί ενεργή εκμετάλλευση στη φύση.
Η CISA απαιτεί από τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες των ΗΠΑ να εφαρμόσουν μετριασμούς από τους προμηθευτές ή να διακόψουν τη χρήση έως τις 7 Ιανουαρίου 2026 και προτρέπει σθεναρά όλους τους άλλους οργανισμούς να ακολουθήσουν τις ίδιες οδηγίες.
Οι ομάδες ασφαλείας θα πρέπει να επανεξετάσουν αμέσως τα περιβάλλοντά τους για επηρεαζόμενες αναπτύξεις ASUS Live Update και να εφαρμόσουν τυχόν διαθέσιμες επιδιορθώσεις προμηθευτών. Όταν οι μετριάσεις δεν είναι εφικτές, αφαιρέστε ή αντικαταστήστε το επηρεαζόμενο λογισμικό το συντομότερο δυνατό.
