La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla crítica que afecta a ASUS Live Update a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-59374 (Puntuación CVSS: 9,3), se ha descrito como una «vulnerabilidad de código malicioso incorporado» introducida mediante un compromiso de la cadena de suministro que podría permitir a los atacantes realizar acciones no deseadas.
«Ciertas versiones del cliente ASUS Live Update se distribuyeron con modificaciones no autorizadas introducidas a través de un compromiso de la cadena de suministro», según una descripción de la falla publicada en CVE.org. «Las compilaciones modificadas podrían hacer que los dispositivos que cumplen condiciones específicas realicen acciones no deseadas. Sólo los dispositivos que cumplieron estas condiciones e instalaron las versiones comprometidas se vieron afectados».
Vale la pena señalar que la vulnerabilidad se refiere a una ataque a la cadena de suministro que salió a la luz en marzo 2019cuando ASUS reconoció que un grupo de amenazas persistentes avanzadas (APT) logró violar algunos de sus servidores como parte de una campaña con nombre en código Operación ShadowHammer de Kaspersky. Se dice que la actividad se desarrolló entre junio y noviembre de 2018.
La compañía rusa de ciberseguridad dijo que el objetivo de los ataques era «apuntar quirúrgicamente» a un grupo desconocido de usuarios cuyas máquinas fueron identificadas por las direcciones MAC de sus adaptadores de red. Las versiones troyanizadas de los artefactos venían integradas con una lista codificada de más de 600 direcciones MAC únicas.
«A una pequeña cantidad de dispositivos se les ha implantado código malicioso a través de un sofisticado ataque a nuestros servidores Live Update en un intento de apuntar a un grupo de usuarios muy pequeño y específico», ASUS anotado En el momento. El problema se solucionó en la versión 3.6.8 del software Live Update.
El desarrollo llega unas semanas después de que ASUS presentara formalmente anunciado que el cliente Live Update alcanzó el fin de soporte (EOS) a partir del 4 de diciembre de 2025. La última versión es 3.6.15. Como resultado, CISA ha instado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aún dependen de la herramienta a suspender su uso antes del 7 de enero de 2026.
«ASUS está comprometida con la seguridad del software y proporciona constantemente actualizaciones en tiempo real para ayudar a proteger y mejorar los dispositivos», la compañía dicho en una página de soporte. «Las actualizaciones de software automáticas y en tiempo real están disponibles a través de la aplicación ASUS Live Update. Actualice ASUS Live Update a V3.6.8 o una versión superior para resolver problemas de seguridad».
Fuente