- A CISA adicionou um compromisso crítico na cadeia de fornecimento do Asus Live Update (CVE-2025-59374) ao KEV relacionado a instaladores adulterados distribuídos antes de 2021.
- A falha decorre do incidente de 2018-2019, em que invasores plantaram código malicioso nos servidores de atualização da Asus.
- As agências federais devem consertar isso até 7 de janeiro, e as empresas de segurança estão exigindo isso de organizações privadas
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou recentemente uma nova vulnerabilidade crítica ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), que a viu exposta a abusos em estado selvagem.
A vulnerabilidade afeta o Asus Live Update, uma ferramenta útil que vem pré-instalada em muitos laptops e desktops Asus. O servidor Asus verifica e instala automaticamente atualizações, incluindo arquivos BIOS, firmware, drivers e muito mais.
De acordo com o National Vulnerability Database (NVD), algumas versões do cliente foram distribuídas “com alterações não autorizadas introduzidas através de um comprometimento da cadeia de abastecimento”. Essas construções modificadas permitem que os atores da ameaça “realizem ações não intencionais” em dispositivos que atendam a determinadas condições de direcionamento. Também é importante notar que o cliente Live Update atingiu o fim do suporte em outubro de 2021.
Propriedade da AISURU?
O bug é rastreado como CVE-2025-59374 e recebe uma pontuação de gravidade de 9,3/10 (crítico).
Notícias sobre hackers observa que a vulnerabilidade se refere a um ataque à cadeia de suprimentos visto em março de 2019. A ASUS reconheceu então que um grupo avançado de ameaças persistentes violou alguns de seus servidores entre junho e novembro de 2018.
“Um pequeno número de dispositivos foi infectado com código malicioso em nossos servidores Live Update por meio de um ataque sofisticado destinado a atingir um grupo muito pequeno e específico de usuários”, disse a Asus na época, lançando a versão 3.6.8 para corrigir o bug.
Junto com o bug da Asus, a CISA também adicionou um bug da Cisco que afeta vários produtos, bem como um bug do SonicWall SMA1000.
Normalmente, quando a CISA adiciona bugs ao KEV, isso significa que as agências do Poder Executivo Civil Federal têm três semanas para corrigir totalmente os produtos ou parar de usá-los. Por causa do bug da ASUS, as agências têm até 7 de janeiro para lidar com isso.
Embora não seja obrigatório para organizações do sector privado, as empresas de segurança são normalmente aconselhadas a seguir também as directrizes CISA.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
