شناسایی نقص بحرانی موثر بر ASUS Live Update توسط CISA

  • 21 Dec 2025
  • News Code: 4750260
  • 49

شناسایی نقص بحرانی موثر بر ASUS Live Update توسط CISA

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA)، یک نقص بحرانی که ASUS Live Update را تحت تأثیر قرار می‌دهد، به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد سوءاستفاده (KEV) خود اضافه کرد و شواهدی از بهره برداری فعال را ذکر نمود.

این آسیب‌پذیری که با شناسه CVE-2025-59374 و امتیاز (CVSS: 9.3) ردیابی می‌شود از طریق نفوذ زنجیره تأمین ایجاد شده و می‌تواند این امکان را به مهاجمان بدهد تا اقدامات ناخواسته‌ای انجام دهند.

طبق توضیحات منتشر شده درCVE.org، نسخه‌های خاصی از کلاینت  ASUS Live Update با تغییرات غیرمجاز که از طریق نفوذ زنجیره تأمین ایجاد شده‌اند، توزیع شده‌اند. این نسخه‌های اصلاح‌شده می‌توانند باعث شوند دستگاه‌هایی که شرایط هدف‌گیری خاصی را برآورده می‌کنند، اقدامات ناخواسته‌ای انجام دهند. فقط دستگاه‌هایی که این شرایط را برآورده کرده و نسخه‌های آسیب‌دیده را نصب کرده‌اند، تحت تأثیر قرار گرفته‌اند.

شایان ذکر است که این آسیب‌پذیری به یک حمله زنجیره تأمین اشاره دارد که در مارس ۲۰۱۹ آشکار شد، زمانی که ایسوس اذعان کرد که یک گروه تهدید پیشرفته مداوم (APT) موفق شده است به عنوان بخشی از یک کمپین با نام رمز Operation ShadowHammer توسط کسپرسکی، به برخی از سرورهای آن نفوذ کند. گفته می‌شود که این فعالیت بین ژوئن و نوامبر ۲۰۱۸ انجام شده است.

این شرکت امنیت سایبری روسی اعلام کرد که هدف این حملات، هدف قرار دادن مجموعه‌ای ناشناخته از کاربرانی بوده است که دستگاه‌های آنها توسط آدرس‌های MAC آداپتورهای شبکه‌شان شناسایی شده است. نسخه‌های تروجان‌شده این مصنوعات با فهرستی از بیش از ۶۰۰ آدرس MAC منحصر به فرد جاسازی شده‌اند.

ASUS در آن زمان خاطرنشان کرد: "تعداد کمی از دستگاه‌ها از طریق یک حمله پیچیده به سرورهای  Live Update  ما با کد مخرب ایجاد شده‌اند تا یک گروه کاربری بسیار کوچک و خاص را هدف قرار دهند." این نقص در نسخه ۳.۶.۸ نرم‌افزار Live Update برطرف شد.

این توسعه چند هفته پس از آن صورت گرفت که ایسوس رسماً اعلام کرد که کلاینت Live  Update  از ۴ دسامبر ۲۰۲۵ به پایان پشتیبانی (EOS) رسیده است. آخرین نسخه، ۳.۶.۱۵ می باشد. در نتیجه، CISA  از سازمان‌های فدرال غیرنظامی (FCEB) که هنوز به این ابزار متکی هستند، خواسته است تا ۷ ژانویه ۲۰۲۶ استفاده از آن را متوقف کنند.

این شرکت در صفحه پشتیبانی خود اعلام کرد: "ایسوس به امنیت نرم‌افزار، متعهد است و به‌طور مداوم به‌روزرسانی‌های زمان واقعی را برای کمک به محافظت و بهبود دستگاه‌ها ارائه می‌دهد. به‌روزرسانی‌های خودکار و زمان واقعی نرم‌افزار از طریق برنامه ASUS  Live Update  در دسترس هستند. لطفاً ASUS Live Update را به نسخه V3.6.8 یا بالاتر به‌روزرسانی کنید تا نگرانی‌های امنیتی برطرف شود."

منبع:

https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html

Share

خبرهای مرتبط

Результатов нет.