美国网络安全暨基础设施安全局(CISA)本周警告,华硕已经停产的即时更新工具(Asus Live Update)一项重大漏洞发生黑客滥用事件。
CISA是在本周将编号CVE-2025-59374的漏洞加入已知遭滥用漏洞(Known Exploited Vulnerability)目录,警告联邦政府机构强化安全防护。
这项漏洞为Asus Live Update工具的嵌入式恶意程序代码漏洞,CVSS分数为9.3。CISA警告,本工具用户端遭人通过供应链破坏进行非授权修改。被篡改过的软件可能造成满足特定攻击条件的设备执行非预期行为。CISA呼吁所有联邦行政部门机构需在2026年1月7日前处理或停用受影响软件。
CVE-2025-59374曾在2019年,被卡巴斯基研究人员发现名为Operation ShadowHammer的滥用,时间点在2018年6到11月之间,推断是中国黑客组织发动,以其漏洞传播后门程序。但华硕已在同年3月发布更新版本。
不确定这波滥用来源为何,但CISA安全公告指出并非勒索软件。
根据美国NIST的漏洞数据库,Live Update的用户端软件已在2021年10月终止服务(End of Service),较新近的硬件应该不会受影响。
华硕在2021年10月的官方标定进程后仍持续提供支持,但该公司本月4日发布公告,将停止对Asus Live Update支持。最后一个版本为3.6.15。
根据华硕说明,现有AsusLive Update用户可继续使用ASUS Live Update服务,不会受到任何影响。
华硕承诺会不断提供即时更新,帮助用户保护和强化设备安全。用户可以通过AsusLive Update软件获取自动且即时的软件更新。该公司呼吁用户更新AsusLive Update至V3.6.8或者更高的版本。
