CVE-2025-59374

Nome do Software Vulnerável e Versões Afetadas Versões do ASUS Live Update anteriores à 3.6.8 Versões do ASUS Live Update de 3.6.8 a 3.6.15 Versões do ASUS Live Update anteriores a outubro de 2021

Descrição Certas versões do cliente ASUS Live Update foram distribuídas com modificações não autorizadas introduzidas através de um comprometimento da cadeia de suprimentos. Essas compilações modificadas poderiam fazer com que dispositivos atendendo a condições específicas de direcionamento realizassem ações não intencionais. O problema está ligado à campanha "Operation ShadowHammer" de 2018-2019, na qual atacantes comprometeram os servidores do ASUS Live Update para entregar código malicioso a um número limitado de sistemas alvo. O cliente Live Update atingiu o Fim do Suporte (EOS) em outubro de 2021, e nenhum dispositivo ou produto atualmente suportado é afetado. A vulnerabilidade recebeu a designação CVE-2025-59374 e foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, embora isso seja considerado uma classificação retrospectiva de um incidente passado, em vez de uma indicação de exploração ativa atual. Mais de um milhão de usuários foram potencialmente afetados, com aproximadamente 600 dispositivos especificamente visados. O software comprometido poderia permitir a execução de comandos arbitrários, exfiltração de dados ou interrupção da funcionalidade do dispositivo.

Recomendações Para versões anteriores à 3.6.8, descontinue o uso do ASUS Live Update imediatamente. Para versões de 3.6.8 a 3.6.15, descontinue o uso do ASUS Live Update imediatamente. Para versões anteriores a outubro de 2021, descontinue o uso do ASUS Live Update imediatamente.