サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、重大なASUSの脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、実環境での積極的な悪用が行われていることを示しました。
CVE-2025-59374はASUS Live Updateソフトウェアに影響し、巧妙なサプライチェーン侵害に起因します。この侵害により、正規のソフトウェア配布物に悪意のあるコードが埋め込まれました。
サプライチェーン攻撃の詳細
この脆弱性は、ASUS Live Updateに影響するサプライチェーン侵害を通じて導入された不正な改変に関係しています。
攻撃者はソフトウェア配布チャネルへの侵入に成功し、悪意のあるコードが埋め込まれた改変ビルドがエンドユーザーに届くことを可能にしました。
これらの侵害されたバージョンは、特定の標的条件を満たすデバイス上で意図しない動作を引き起こす可能性があり、高度に標的化された攻撃キャンペーンであることを示唆しています。
この脆弱性は、埋め込み型の悪意あるコードの弱点に関連するCWE-506に分類されています。
この分類は、脅威アクターが顧客に届く前の信頼されたソフトウェアを侵害するサプライチェーン攻撃の深刻さを浮き彫りにしています。
侵害期間中に配布されたASUS Live Updateクライアントは、この脆弱性の影響を受けます。
CISAは警告しており、影響を受ける製品はすでにサポート終了(EoL)またはサービス終了(EoS)となっている可能性があり、これらのバージョンを使用し続けている組織にとって修復対応が複雑になるとしています。
CISAの拘束力のある運用指令22-01に従い、連邦機関は2026年1月7日までにこの脆弱性へ対処する必要があります。
組織には、ベンダーの指示に従って直ちに緩和策を適用するか、クラウドサービスに適用可能なガイダンスに従うことが求められています。
緩和策が利用できない場合、CISAは影響を受ける製品の使用を完全に中止することを推奨しています。
CVE-2025-59374がランサムウェアキャンペーンで悪用されたかどうかは依然として不明ですが、KEVカタログへの追加は、脅威アクターによる積極的な悪用を裏付けています。
この攻撃がサプライチェーン型であることは懸念を増幅させます。侵害されたソフトウェアは、検知される前に広範囲へ拡散し得るためです。
ASUS Live Updateを使用している組織は、直ちにソフトウェアのバージョンを確認し、不審な活動がないかシステムログを精査し、推奨されるセキュリティ対策を実施すべきです。
この事案は、マルウェアを配布するためにソフトウェア更新メカニズムを標的とするサプライチェーン攻撃の脅威が増大していることを浮き彫りにしています。
翻訳元: https://gbhackers.com/actively-exploited-asus-vulnerability-added-to-cisas-kev-list/
