CISA cảnh báo lỗ hổng nghiêm trọng trong tính năng cập nhật trực tiếp của ASUS

T-X · T.M.Hai 19, 2025, 09:00:08 CHIỀU

Hôm thứ Tư, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng nghiêm trọng ảnh hưởng đến ASUS Live Update vào danh mục Các lỗ hổng đã bị khai thác ( KEV ) của mình, với lý do có bằng chứng về việc đang diễn ra hoạt động khai thác.

Lỗ hổng này, được theo dõi với mã CVE-2025-59374 (điểm CVSS: 9.3), được mô tả là "lỗ hổng mã độc nhúng" được đưa vào thông qua việc xâm phạm chuỗi cung ứng, có thể cho phép kẻ tấn công thực hiện các hành động ngoài ý muốn.

Theo mô tả về lỗ hổng được công bố trên Đăng nhập để xem liên kết, "Một số phiên bản của phần mềm ASUS Live Update đã được phân phối với những sửa đổi trái phép do sự xâm phạm chuỗi cung ứng gây ra. Các bản dựng đã sửa đổi có thể khiến các thiết bị đáp ứng các điều kiện nhắm mục tiêu cụ thể thực hiện các hành động không mong muốn. Chỉ những thiết bị đáp ứng các điều kiện này và đã cài đặt các phiên bản bị xâm phạm mới bị ảnh hưởng."

Điều đáng chú ý là lỗ hổng này đề cập đến cuộc tấn công chuỗi cung ứng được phát hiện vào tháng 3 năm 2019, khi ASUS thừa nhận rằng một nhóm tin tặc tấn công dai dẳng (APT) đã xâm nhập được một số máy chủ của họ như một phần của chiến dịch có tên mã là Operation ShadowHammer do Kaspersky thực hiện. Hoạt động này được cho là đã diễn ra từ tháng 6 đến tháng 11 năm 2018.

Công ty an ninh mạng Nga cho biết mục tiêu của các cuộc tấn công là "nhắm mục tiêu chính xác" vào một nhóm người dùng không xác định, có máy tính được nhận dạng bằng địa chỉ MAC của bộ chuyển đổi mạng. Các phiên bản bị nhiễm mã độc Trojan được nhúng sẵn một danh sách hơn 600 địa chỉ MAC duy nhất được mã hóa cứng.

Vào thời điểm đó, ASUS cho biết: "Một số lượng nhỏ thiết bị đã bị cài đặt mã độc thông qua một cuộc tấn công tinh vi vào máy chủ Live Update của chúng tôi nhằm mục tiêu vào một nhóm người dùng rất nhỏ và cụ thể." Vấn đề này đã được khắc phục trong phiên bản 3.6.8 của phần mềm Live Update.

Diễn biến này diễn ra vài tuần sau khi ASUS chính thức thông báo rằng phần mềm Live Update đã hết hạn hỗ trợ (EOS) kể từ ngày 4 tháng 12 năm 2025. Phiên bản cuối cùng là 3.6.15. Do đó, CISA đã kêu gọi các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) vẫn đang dựa vào công cụ này ngừng sử dụng nó trước ngày 7 tháng 1 năm 2026.

"ASUS cam kết bảo mật phần mềm và liên tục cung cấp các bản cập nhật theo thời gian thực để giúp bảo vệ và nâng cao thiết bị," công ty cho biết trên trang hỗ trợ. "Các bản cập nhật phần mềm tự động, theo thời gian thực có sẵn thông qua ứng dụng ASUS Live Update. Vui lòng cập nhật ASUS Live Update lên phiên bản 3.6.8 trở lên để giải quyết các vấn đề bảo mật."

VietNetwork.Vn

Tìm kiếm