CISA Flags Critical ASUS Live Update Flaw After Evidence of Active Exploitation
Mis à jour :
Vulnérabilité critique dans le logiciel ASUS Live Update et exploitation active
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une vulnérabilité critique affectant ASUS Live Update à son catalogue des vulnérabilités connues et exploitées, suite à des preuves d’exploitation active.
Points clés :
- Une faille de sécurité dans le logiciel ASUS Live Update a été identifiée comme étant activement exploitée.
- Cette vulnérabilité découle d’une compromission de la chaîne d’approvisionnement qui a conduit à la distribution de versions modifiées du client ASUS Live Update.
- Ces versions compromises pouvaient permettre à des attaquants d’exécuter des actions non désirées sur les appareils ciblés.
- La vulnérabilité est liée à une attaque de la chaîne d’approvisionnement remontant à 2019, connue sous le nom d’Opération ShadowHammer.
Vulnérabilité :
- CVE-2025-59374 (Score CVSS : 9.3) : “Vulnérabilité de code malveillant intégré” résultant d’une compromission de la chaîne d’approvisionnement.
Recommandations :
- Les agences du FCEB (Federal Civilian Executive Branch) utilisant toujours cet outil doivent cesser de l’utiliser d’ici le 7 janvier 2026, date de fin de support du client Live Update.
- Il est conseillé de mettre à jour le logiciel ASUS Live Update vers la version 3.6.8 ou une version ultérieure pour résoudre les problèmes de sécurité.