13.05.2023
1 хв
1814
Агентство з кібербезпеки США (CISA) попередило про активну експлуатацію критичної вразливості в утиліті Asus Live Update, яка є наслідком масштабної атаки на ланцюг постачання. Уразливість дозволяє виконувати шкідливий код і пов’язана з відомою операцією ShadowHammer, яку приписують китайським APT-групам.
Уразливість, що відстежується як CVE-2025-59374 з оцінкою CVSS 9,3, описується як «вбудований бекдор шкідливого коду». Вона була імплантована безпосередньо в Asus Live Update — інструмент, який раніше постачався попередньо встановленим на більшості ноутбуків і ПК Asus та використовувався для автоматичного оновлення BIOS, UEFI, драйверів і системних компонентів.
За даними CISA, компрометовані системи можуть виконувати непередбачувані дії за певних умов. Попри те, що заражену версію утиліти могли встановити понад мільйон користувачів, реальними цілями атаки було лише близько 600 конкретних пристроїв, ідентифікованих за хешованими MAC-адресами, жорстко закодованими в різних версіях програми.
Вразливість є частиною операції ShadowHammer, розкритої у 2019 році. Атаку пов’язували з бекдором ShadowPad і приписували угрупованню APT41, також відомому як Brass Typhoon, Wicked Panda або Barium. Кампанія вважається однією з найвитонченіших атак на ланцюг постачання, оскільки шкідливий код розповсюджувався через легітимні цифрові підписи виробника.
Asus припинила підтримку Live Update, останньою версією якої стала 3.6.15, і закликала користувачів оновлюватися до версії 3.6.8 або новішої. CISA внесла CVE-2025-59374 до каталогу Known Exploited Vulnerabilities (KEV) та зобов’язала федеральні агентства США припинити використання цієї утиліти протягом трьох тижнів відповідно до директиви BOD 22-01.
Історія з Asus Live Update демонструє, що атаки на ланцюги постачання залишаються одним із найнебезпечніших векторів загроз. Навіть офіційні інструменти від відомих виробників можуть стати каналом для тривалого прихованого доступу, особливо коли за атаками стоять державні APT-групи з високим рівнем ресурсів.
