CISA flags ASUS Live Update CVE, but the attack is years old

1 minute de lecture

Mis à jour : December 22, 2025

Vulnérabilité ASUS Live Update : une ancienne menace classifiée

La vulnérabilité CVE-2025-59374, concernant le logiciel ASUS Live Update, a récemment été mise en avant suite à son ajout au catalogue des vulnérabilités connues et exploitées (KEV) de la CISA. Cependant, il s’agit d’une classification rétrospective d’une attaque de la chaîne d’approvisionnement (“ShadowHammer”) datant de 2018-2019, et non d’une menace émergente.

Points Clés :

L’ajout de cette CVE au catalogue KEV ne signifie pas une exploitation active récente. La CISA peut ajouter des vulnérabilités, même anciennes, si des informations précises sur une exploitation active sont disponibles.
Le logiciel concerné, ASUS Live Update, a atteint sa fin de vie (End-of-Support - EOS) en octobre 2021. Selon la CVE, aucun appareil actuellement supporté n’est affecté.
La dernière version du logiciel, la 3.6.15, est identifiée comme la version finale. Sa disponibilité ne crée pas une nouvelle urgence de mise à jour.
Les mises à jour récentes sur la page d’assistance d’ASUS concernent principalement la documentation et des informations sur la dernière version du logiciel, et non la résolution d’une nouvelle faille exploitée activement.

Vulnérabilité :

CVE-2025-59374 : Compromission de la chaîne d’approvisionnement ayant entraîné la distribution de versions modifiées d’ASUS Live Update avec des modifications non autorisées. Ces versions pouvaient déclencher des actions indésirables sur des appareils répondant à des conditions de ciblage spécifiques. Le logiciel est désormais obsolète.

Recommandations :

Les équipes de sécurité doivent être prudentes quant à l’interprétation de l’urgence associée aux CVE ajoutées au catalogue KISA, particulièrement pour les logiciels obsolètes ou les incidents résolus depuis longtemps.
Bien que le logiciel soit obsolète, il est toujours conseillé de s’assurer que les appareils disposent de la dernière version disponible du logiciel, soit la 3.6.15, pour des raisons de documentation et de bonnes pratiques, même si cela ne correspond pas à une nouvelle urgence de sécurité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CISA flags ASUS Live Update CVE, but the attack is years old

Vulnérabilité ASUS Live Update : une ancienne menace classifiée

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast