TokyoBlackHatNews

malwarebytes.com 4分で読了

CISA、ASUS Live Updateのバックドアが7年経った今も悪用可能だと警告

最近、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ASUS Live Updateの脆弱性を(他の2件とともに)追加し、既知の悪用されている脆弱性(KEV)カタログに掲載しました。

KEVカタログは、実際に野外で悪用されていることが確認されている脆弱性を列挙し、連邦文民行政機関(FCEB)に対してパッチ適用期限を設定します。CISAがこのリストに問題を追加することは、悪用が現実に起きており、継続中で、緊急性が高いという強いシグナルです。

ASUS Live Updateの「埋め込み悪性コード」脆弱性は、CVE-2025-59374として追跡されており(CVSSスコアは9.3)、ASUSデバイスに対してファームウェアやソフトウェア更新を配信するために一般的に使われるユーティリティ「Live Update」に影響します。

ASUS Live Updateが重大なセキュリティインシデントと結び付けられたのは、今回が初めてではありません。2019年、ASUSは高度持続的脅威(APT)グループによるLive Updateツールへの攻撃に関する報道を受け、次のように述べました。

「ごく少数のデバイスが、当社のLive Updateサーバーに対する高度な攻撃を通じて悪性コードを埋め込まれ、非常に少数かつ特定のユーザーグループを標的にしようとしたものです。」

その後の調査により、中国の国家支援を受けた攻撃者によるものとされる2018年の高度なサプライチェーン攻撃で、ASUS Live Updateにバックドアが挿入されていたことが明らかになりました。この攻撃が特に効果的だったのは、このユーティリティが多くのASUSデバイスにプリインストールされており、BIOS、UEFI、ドライバー、その他のコンポーネントを自動的に更新するために使われていたためです。

CISAは現在、特定の条件が満たされると、影響を受けるデバイスが悪用されて意図しない動作を実行させられる可能性があると指摘しています。当初、攻撃者はツールの複数バージョンにハードコードされたハッシュ化MACアドレスに基づき、約600台の特定デバイスのみを標的にしていたと報告されています。バックドア入りユーティリティを数百万人のユーザーがダウンロードしていた可能性があるにもかかわらず、です。

ASUS Live Updateアプリケーションのサポートは、その後終了しています。ASUS Live Updateの最終想定バージョンは3.6.15でしたが、ソフトウェア更新の提供は継続されます。これがおそらく、CVEが割り当てられ、脆弱性がKEVカタログに追加された理由です。ASUS、MITRE、CISAから公式な「なぜ今なのか」という説明はありませんでしたが、サポート終了済みのレガシー製品が、アクティブな悪用が確認された脆弱性として再分類されたという点で、タイミングは一致しています。

ASUSユーザーは何をすべきか?

まず第一に、クリーンなバージョンのユーティリティを実行していることを確認してください。ASUSは、既知のセキュリティ問題に対処するため、バージョン3.6.8以降へ更新するようユーザーに促しています。

  • Windows画面の右下にあるASUS Live Updateアイコンを右クリックします
  • Aboutをクリックして、下の画像に示されているようにバージョン情報を確認します。
    Image
  • 古いバージョンの場合は、プログラムを開いてCheck update immediatelyをクリックします
  • ASUS Live Updateが最新のドライバーとユーティリティを自動的に見つけます。
  • Installをクリックします
  • 更新後、再度確認し、「No updates」と表示されることを確かめてください。

または、最新バージョンを手動でダウンロードしてインストールすることもできます。ASUSのサポート記事では、現在のLive Updateパッケージを入手する唯一の公式手順として次の方法が説明されています。​

  1. ASUS公式サイト(asus.com)にアクセスします
  2. 検索ボックスを使って、お使いの正確なモデル(例:UX580GD)を見つけます
  3. 製品ページを開き、SupportDriver & Toolsをクリックします
  4. 使用しているOS(例:Windows 10/11 64-bit)を選択します。​
  5. UtilitiesセクションでASUS Live Updateを探し、Downloadをクリックします

これが、公式の「直接」ダウンロードに最も近い方法です。URLはモデルごとに異なり、ASUSはLive Updateインストーラーの中央集約ディレクトリを提供していません。これにより必要以上に手間がかかる可能性はありますが、公式ダウンロードを利用することを推奨します。このツールにはサプライチェーン悪用の前歴があるため、サードパーティの入手元からダウンロードするのは、取るに足らないリスクではありません。

翻訳元: https://www.malwarebytes.com/blog/news/2025/12/cisa-warns-asus-live-update-backdoor-is-still-exploitable-seven-years-on

ソース: malwarebytes.com
#ASUS #ASUS Live Update #CISA #CVE-2025-59374 #KEVカタログ #Windowsセキュリティ #サプライチェーン攻撃 #ソフトウェアアップデート #バックドア #脆弱性

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延