La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla crítica que afecta a ASUS Live Update a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-59374 (puntuación CVSS: 9,3), se describe como «incrustación de una vulnerabilidad de código malicioso» introducida por un compromiso de la cadena de suministro, que podría permitir que un atacante realice acciones no deseadas.
«Ciertas versiones del cliente ASUS Live Update se distribuyeron con cambios no autorizados introducidos a través de un compromiso de la cadena de suministro», según la descripción de la falla publicada en CVE.org. «La compilación modificada puede causar un comportamiento no deseado en dispositivos que cumplen ciertas condiciones de destino. Sólo los dispositivos que cumplen con estas condiciones y han instalado la versión comprometida se ven afectados».
Vale la pena señalar que esta vulnerabilidad se refiere a un ataque a la cadena de suministro que se reveló en marzo de 2019, cuando ASUS admitió que el grupo Advanced Persistent Threat (APT) había comprometido algunos de sus servidores como parte de una campaña con el nombre en código «Operación ShadowHammer» de Kaspersky Lab. Esta actividad se dice que se realizó de junio a noviembre de 2018.
La firma rusa de ciberseguridad dijo que el objetivo del ataque era «apuntar quirúrgicamente» a un grupo desconocido de usuarios cuyas máquinas fueron identificadas por la dirección MAC de su adaptador de red. La versión troyanizada del artefacto contenía una lista codificada de más de 600 direcciones MAC únicas.
ASUS señaló en ese momento que «un ataque sofisticado a nuestros servidores Live Update resultó en la implantación de código malicioso en una pequeña cantidad de dispositivos en un intento de apuntar a un grupo muy pequeño y específico de usuarios». Este problema se solucionó en la versión 3.6.8 del software Live Update.
Este desarrollo se produce semanas después de que ASUS anunciara oficialmente que su cliente Live Update alcanzó el fin de soporte (EOS) el 4 de diciembre de 2025. La versión final es 3.6.15. Como resultado, CISA ha pedido a las agencias del Poder Ejecutivo Civil Federal (FCEB) que todavía dependen de esta herramienta que dejen de usarla antes del 7 de enero de 2026.
«ASUS está comprometida con la seguridad del software y proporciona continuamente actualizaciones en tiempo real para ayudar a proteger y reforzar sus dispositivos», dijo la compañía en su página de soporte. «Las actualizaciones de software automáticas y en tiempo real están disponibles a través de la aplicación ASUS Live Update. Para resolver problemas de seguridad, actualice ASUS Live Update a V3.6.8 o una versión posterior».
Source link
