La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una descompostura crítica que afecta a ASUS Live Update a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-59374 (Puntuación CVSS: 9,3), se ha descrito como una “vulnerabilidad de código astuto incorporado” introducida mediante un compromiso de la condena de suministro que podría permitir a los atacantes realizar acciones no deseadas.
“Ciertas versiones del cliente ASUS Live Update se distribuyeron con modificaciones no autorizadas introducidas a través de un compromiso de la condena de suministro”, según una descripción de la descompostura publicada en CVE.org. “Las compilaciones modificadas podrían hacer que los dispositivos que cumplen condiciones específicas realicen acciones no deseadas. Sólo los dispositivos que cumplieron estas condiciones e instalaron las versiones comprometidas se vieron afectados”.
Vale la pena señalar que la vulnerabilidad se refiere a un ataque a la condena de suministro que salió a la luz en marzo de 2019, cuando ASUS reconoció que un corro de amenazas persistentes avanzadas (APT) logró violar algunos de sus servidores como parte de una campaña con nombre en código Operación ShadowHammer de Kaspersky. Se dice que la actividad se desarrolló entre junio y noviembre de 2018.
La compañía rusa de ciberseguridad dijo que el objetivo de los ataques era “apuntar quirúrgicamente” a un corro desconocido de usuarios cuyas máquinas fueron identificadas por las direcciones MAC de sus adaptadores de red. Las versiones troyanizadas de los artefactos venían integradas con una tira codificada de más de 600 direcciones MAC únicas.
“A una pequeña cantidad de dispositivos se les ha implantado código astuto a través de un sofisticado ataque a nuestros servidores Live Update en un intento de apuntar a un corro de usuarios muy pequeño y específico”, señaló ASUS en ese momento. El problema se solucionó en la traducción 3.6.8 del software Live Update.
El mejora se produce unas semanas posteriormente de que ASUS anunciara formalmente que el cliente Live Update alcanzó el fin de soporte (EOS) a partir del 4 de diciembre de 2025. La última traducción es 3.6.15. Como resultado, CISA ha instado a las agencias del Poder Ejecutante Civil Federal (FCEB) que aún dependen de la aparejo a suspender su uso antiguamente del 7 de enero de 2026.
“ASUS está comprometida con la seguridad del software y proporciona constantemente actualizaciones en tiempo positivo para ayudar a proteger y mejorar los dispositivos”, dijo la compañía en una página de soporte. “Las actualizaciones de software automáticas y en tiempo positivo están disponibles a través de la aplicación ASUS Live Update. Actualice ASUS Live Update a V3.6.8 o una traducción superior para resolver problemas de seguridad”.
