- CISAは、2021年以前に配布された改ざんインストーラーに関連する、Asus Live Updateの重大なサプライチェーン侵害(CVE‑2025‑59374)をKEVに追加した
- この欠陥は2018~2019年の事件に起因し、攻撃者がAsusの更新サーバーに悪意あるコードを埋め込んだ
- 連邦機関は1月7日までに是正が必要で、セキュリティ企業は民間組織にも同様の対応を促している
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は最近、新たな重大な脆弱性を「既知の悪用されている脆弱性(KEV)」カタログに追加した。これは、実際の環境で悪用されていることを確認したことを意味する。
この脆弱性はAsus Live Updateを標的としている。Asus Live Updateは、多くのAsus製ノートPCやデスクトップにプリインストールされているユーティリティツールだ。Asusのサーバーで更新を確認し、BIOSファイル、ファームウェア、ドライバーなどを含め、自動的にインストールする。
National Vulnerability Database(NVD)によると、クライアントの特定バージョンが「サプライチェーン侵害により導入された不正な改変を伴った状態で」配布されていたという。これらの改変ビルドにより、脅威アクターは特定の標的条件を満たすデバイス上で「意図しない操作」を実行できる。また、Live Updateクライアントは2021年10月にサポート終了となっている点にも触れておくべきだろう。
AISURUに乗っ取られた?
このバグは現在CVE-2025-59374として追跡されており、深刻度スコアは9.3/10(重大)と評価された。
The Hacker Newsは、この脆弱性は実際には2019年3月に発見されたサプライチェーン攻撃を指していると指摘している。当時ASUSは、2018年6月から11月にかけて、APT(高度持続的脅威)グループが同社の一部サーバーに侵入したことを認めていた。
「ごく少数の特定ユーザーグループを標的にする目的で、当社のLive Updateサーバーに対する高度な攻撃を通じて、少数のデバイスに悪意あるコードが埋め込まれました」とAsusは当時述べ、欠陥に対処するためにバージョン3.6.8をリリースした。
CISAはAsusのバグに加え、複数製品に影響するCiscoの欠陥、ならびにSonicWall SMA1000に影響するバグも追加した。
通常、CISAがKEVに欠陥を追加すると、連邦政府の行政部門(FCEB)機関には、パッチ適用または製品の使用停止までに3週間の期限が与えられる。ASUSの欠陥については、機関は1月7日までに対応する必要がある。
民間部門の組織にとっては義務ではないものの、セキュリティ企業は通常、CISAの指示に従うよう助言している。
