米国のサイバーセキュリティ機関CISAは水曜日、現在は提供終了となっているAsus Live Updateユーティリティに存在する重大な脆弱性が、ハッカーによって悪用されていると警告した。
悪用されている欠陥はCVE-2025-59374(CVSSスコア9.3)として追跡されており、「組み込み型の悪意あるコードの脆弱性」と説明されている。
CISAは、このバックドアがサプライチェーン侵害によって持ち込まれたものであり、一定の条件が満たされると、影響を受けるデバイスが意図しない動作を実行するために悪用され得ると指摘している。
この警告は、2018年に中国の国家支援ハッカーが実行した高度なサプライチェーン攻撃であるOperation ShadowHammerに言及している。この攻撃はShadowPadバックドアと関連付けられ、APT41(Brass Typhoon、Wicked Panda、Bariumとしても追跡)によるものとされた。
攻撃の一環として、このハッキンググループはAsus Live Updateにバックドアを注入した。Asus Live Updateは多くのAsusデバイスにプリインストールされていたユーティリティで、BIOS、UEFI、ドライバー、その他コンポーネントの自動更新に使用されていた。
100万人超のAsusユーザーがバックドア入りユーティリティをダウンロードした可能性がある一方で、ハッカーが関心を持っていたのは、ツールの複数バージョンにハードコードされていたハッシュ化MACアドレスに基づく約600台の特定デバイスのみだったと報告されている。
この攻撃は2019年1月に発覚し、Asusは同年3月までにパッチを公開した。
Asusは今月初め、Asus Live Updateアプリケーションのサポートを終了したと案内した。Asus Live Updateの最終バージョンは3.6.15である。
ただし同社は、このユーティリティを通じたソフトウェア更新の提供は継続するとし、セキュリティ上の欠陥を解消するため、バージョン3.6.8以上へ更新するようユーザーに促した。
水曜日、CISAはCVE-2025-59374を既知の悪用されている脆弱性(KEV)カタログに追加し、Asus Live Updateのバックドアについて警告するとともに、連邦機関に対して同ユーティリティの使用停止を求めた。
拘束力のある運用指令(BOD)22-01により、連邦機関は3週間以内に自組織の環境内にある脆弱な製品を特定し、問題に対処しなければならない。
翻訳元: https://www.securityweek.com/cisa-warns-of-exploited-flaw-in-asus-update-tool/
