CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-59374

ASUS Live Update — kompromitacja łańcucha dostaw (supply chain compromise)

CVSS 9.3v4.0pub. 2025-12-17upd. 2025-12-18

Wybrane wersje klienta ASUS Live Update zostały rozpowszechnione z nieautoryzowanymi modyfikacjami wprowadzonymi w wyniku ataku na łańcuch dostaw. Urządzenia spełniające określone warunki targetowania, na których zainstalowano zmodyfikowane wersje, mogły wykonywać niezamierzone działania.

Pokaż oryginał (EN)

"UNSUPPORTED WHEN ASSIGNED" Certain versions of the ASUS Live Update client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. Only devices that met these conditions and installed the compromised versions were affected. The Live Update client has already reached End-of-Support (EOS) in October 2021, and no currently supported devices or products are affected by this issue.

🤖 Analiza AI
Jak działa

Atakujący zmodyfikowali oficjalne pakiety dystrybucyjne klienta ASUS Live Update, wprowadzając nieautoryzowany kod (CWE-506: wbudowane złośliwe oprogramowanie) jeszcze przed ich dostarczeniem do użytkowników końcowych. Tylko urządzenia spełniające określone warunki (mechanizm targetowania) i posiadające zainstalowane skompromitowane wersje były faktycznie aktywowane do wykonania niezamierzonych działań. Klient ASUS Live Update osiągnął status End-of-Support (EOS) w październiku 2021 roku i nie jest już wspierany przez producenta.

Skutki

Na urządzeniach spełniających warunki targetowania atakujący mógł spowodować wykonanie niezamierzonych, nieautoryzowanych działań — zakres skutków zależy od funkcji wbudowanego złośliwego kodu. Żadne aktualnie wspierane urządzenia ani produkty ASUS nie są podatne na ten problem.

Mitygacja

Klient ASUS Live Update osiągnął status End-of-Support w październiku 2021 roku — producent nie wyda patcha dla tej aplikacji. Należy odinstalować wszystkie wersje klienta ASUS Live Update i zaprzestać jego użytkowania. W celu weryfikacji stanu urządzenia należy zapoznać się z referencjami opublikowanymi przez ASUS pod adresem wskazanym w referencjach producenta.

Kogo dotyczy

Wybrane wersje klienta ASUS Live Update (wersje wskazane w referencjach producenta), dystrybuowane przed osiągnięciem statusu End-of-Support w październiku 2021 roku. Aktualnie wspierane urządzenia i produkty ASUS nie są dotknięte tym problemem.

Uwagi

Podatność oznaczona jako 'UNSUPPORTED WHEN ASSIGNED' — oprogramowanie ASUS Live Update osiągnęło End-of-Support w październiku 2021 roku i nie otrzyma aktualizacji zabezpieczeń. Podatność dotyczy wyłącznie urządzeń ze starszymi, skompromitowanymi wersjami klienta; żadne aktualnie wspierane produkty ASUS nie są zagrożone.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Asus Live Update

    APP
    Asus
    < 3.6.8

CISA KEV — szczegółyi

Dostawcai
ASUS
Produkti
Live Update
Data dodania do KEVi
17 grudnia 2025
Termin remediation (USA)i
7 stycznia 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze, lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

ASUS Live Update zawiera lukę w zabezpieczeniach związaną z osadzonym złośliwym kodem. Klienty zostały rozpowszechnione wraz z nieautoryzowanymi modyfikacjami wprowadzonymi poprzez kompromitację łańcucha dostaw. Zmodyfikowane kompilacje mogły powodować, że urządzenia spełniające określone warunki targetowania wykonują niezamierzone działania. Podlegający produktowi może być koniec okresu wsparcia (EoL) i/lub koniec okresu serwisu (EoS). Użytkownicy powinni zaprzestać używania produktu.

tłumaczenie AI
Pokaż oryginał (EN)

ASUS Live Update contains an embedded malicious code vulnerability client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 7 stycznia 2026
CWE
Referencje

Powiązane podatności

CVE-2021-32030CRITICAL9.8⚠ KEVten sam vendor

The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_...

CVE-2025-59367CRITICAL9.3PL ✓ten sam vendor

Authentication bypass w routerach ASUS z serii DSL — nieautoryzowany dostęp zdalny

CVE-2023-5716CRITICAL9.8PL ✓ten sam vendor

ASUS Armoury Crate — zapis i odczyt dowolnych plików przez sieć bez uwierzytelnienia

CVE-2023-47678CRITICAL9.1ten sam vendor

An improper access control vulnerability exists in RT-AC87U all versions. An attacker may read or write files ...

CVE-2023-35087CRITICAL9.8ten sam vendor

It is identified a format string vulnerability in ASUS RT-AX56U V2 & RT-AC86U. This vulnerability is caused b...