The Hacker Newsは12月18日(現地時間)、「CISA Flags Critical ASUS Live Update Flaw After Evidence of Active Exploitation」において、ASUS Live Updateのセキュリティ脆弱性が既知の悪用された脆弱性(KEV: Known Exploited Vulnerability)カタログに追加されたと報じた。
ASUS Live Updateの特定のバージョンを使用すると、標的デバイス上で予期しない動作を引き起こす可能性があるという。
-
CISA Flags Critical ASUS Live Update Flaw After Evidence of Active Exploitation
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-59374 - 不正コードの埋め込みの脆弱性。ASUS Live Updateはサプライチェーン攻撃を原因とする不正なコードを含む状態で配布された。不正なコードは特定の条件を満たす場合に、デバイス上で意図しない動作を引き起こす可能性がある(CVSSv4スコア: 9.3)
この件は2019年3月に発生したサプライチェーン攻撃による被害が継続していることを意味している。当時のASUSの発表によると、持続的標的型攻撃(APT: Advanced Persistent Threat)グループがLive Updateサーバに巧妙な攻撃を仕掛け、一部のデバイスに悪意のあるコードを埋め込んだという(参考:「ASUS response to the recent media reports regarding ASUS Live Update tool attack by Advanced Persistent Threat (APT) groups | News|ASUS Global」)。
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- ASUS Live Update 3.6.8よりも前のバージョン
脆弱性を修正した製品
脆弱性を修正したとされる製品およびバージョンは次のとおり。
- ASUS Live Update 3.6.8およびこれ以降のバージョン
影響と対策
今回、CISAは脆弱性の活発な悪用を確認し、KEVカタログへの追加を発表した。共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)の公開日時が2025年12月17日であることから、最近になり被害の報告を受け、CVEの新規割り当ておよびカタログへの追加を実施したものとみられる。
攻撃者は長期の潜伏期間を経て攻撃を実施した可能性がある。これには2025年12月4日に発表されたASUS Live Updateのサポート終了が影響したと推測される(公式発表:「Announcement of ASUS software support end | Official Support | ROG Australia」)。
影響範囲はASUSのノートパソコンに限られる。ASUSのノートパソコン所有者は、当該製品の有無を確認し、最終バージョン(3.6.15)へのアップデートまたはアンインストールすることが推奨されている。すでに侵害された可能性がある場合は、クリーンインストール(工場出荷時に復元)することでマルウェアを削除可能とされる。
