Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Tư đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến ASUS Live Update vào danh mục Các Lỗ hổng Bị Khai thác Thực tế (KEV) của mình, với lý do có bằng chứng về việc khai thác tích cực.
Lỗ hổng này, được theo dõi là CVE-2025-59374 (điểm CVSS: 9.3), đã được mô tả là một "lỗ hổng mã độc nhúng" được đưa vào thông qua một sự xâm nhập chuỗi cung ứng có thể cho phép kẻ tấn công thực hiện các hành động không mong muốn.
Theo mô tả về lỗ hổng được công bố trên CVE.org: "Một số phiên bản nhất định của ứng dụng khách ASUS Live Update đã được phân phối với các sửa đổi trái phép được đưa vào thông qua một sự xâm nhập chuỗi cung ứng. Các bản dựng đã sửa đổi có thể khiến các thiết bị đáp ứng các điều kiện mục tiêu cụ thể thực hiện các hành động không mong muốn. Chỉ những thiết bị đáp ứng các điều kiện này và đã cài đặt các phiên bản bị xâm nhập mới bị ảnh hưởng."
Operation ShadowHammer và nguồn gốc lỗ hổng
Đáng chú ý là lỗ hổng này đề cập đến cuộc tấn công chuỗi cung ứng được phát hiện vào tháng 3 năm 2019, khi ASUS thừa nhận rằng một nhóm tấn công dai dẳng nâng cao (APT) đã tìm cách xâm nhập một số máy chủ của họ như một phần của chiến dịch có tên mã Operation ShadowHammer do Kaspersky đặt tên. Hoạt động này được cho là đã diễn ra từ tháng 6 đến tháng 11 năm 2018.
Công ty an ninh mạng của Nga cho biết mục tiêu của các cuộc tấn công là "nhắm mục tiêu chính xác" một nhóm người dùng không xác định mà các máy tính của họ được xác định bằng địa chỉ MAC của bộ điều hợp mạng. Các phiên bản đã bị Trojan hóa của các phần mềm được nhúng với một danh sách mã hóa cứng hơn 600 địa chỉ MAC duy nhất.
ASUS lưu ý vào thời điểm đó: "Một số lượng nhỏ thiết bị đã bị cấy mã độc thông qua một cuộc tấn công tinh vi vào các máy chủ Live Update của chúng tôi nhằm mục tiêu một nhóm người dùng rất nhỏ và cụ thể." Vấn đề đã được khắc phục trong phiên bản 3.6.8 của phần mềm Live Update.
Hết hỗ trợ và khuyến nghị của CISA
Sự việc này diễn ra vài tuần sau khi ASUS chính thức thông báo rằng ứng dụng khách Live Update đã đạt đến trạng thái hết hỗ trợ (EOS) kể từ ngày 4 tháng 12 năm 2025. Phiên bản cuối cùng là 3.6.15. Do đó, CISA đã kêu gọi các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) vẫn đang dựa vào công cụ này ngừng sử dụng trước ngày 7 tháng 1 năm 2026.
ASUS cho biết trên một trang hỗ trợ: "ASUS cam kết bảo mật phần mềm và luôn cung cấp các bản cập nhật theo thời gian thực để giúp bảo vệ và nâng cao thiết bị. Các bản cập nhật phần mềm tự động, theo thời gian thực có sẵn thông qua ứng dụng ASUS Live Update. Vui lòng cập nhật ASUS Live Update lên V3.6.8 hoặc phiên bản cao hơn để giải quyết các lo ngại về bảo mật."
