La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el miércoles adicional una falla crítica que afecta a ASUS Live Update a sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-59374 (puntuación CVSS: 9,3), se ha descrito como una «vulnerabilidad de código malicioso incrustado» que se introduce al comprometer la cadena de suministro y que podría permitir a los atacantes realizar acciones no deseadas.
«Ciertas versiones del cliente ASUS Live Update se distribuyeron con modificaciones no autorizadas introducidas debido a un compromiso en la cadena de suministro», según una descripción de la falla publicada en CVE.org. «Las versiones modificadas podían provocar que los dispositivos que cumplían condiciones específicas de segmentación realizaran acciones no deseadas. Solo se vieron afectados los dispositivos que cumplían estas condiciones e instalaban las versiones comprometidas».
Vale la pena señalar que la vulnerabilidad se refiere a la ataque a la cadena de suministro que salió a la luz en marzo de 2019 , cuando ASUS reconoció que un grupo de amenazas persistentes avanzadas (APT) había conseguido hackear algunos de sus servidores como parte de una campaña de Kaspersky denominada Operation ShadowHammer. Se dice que la actividad se llevó a cabo entre junio y noviembre de 2018.
La empresa rusa de ciberseguridad dijo que el objetivo de los ataques era «atacar quirúrgicamente» a un grupo desconocido de usuarios cuyas máquinas fueron identificadas por las direcciones MAC de sus adaptadores de red. Las versiones troyanizadas de los artefactos venían integradas con una lista codificada de más de 600 direcciones MAC únicas.
«Se ha implantado código malicioso en una pequeña cantidad de dispositivos mediante un sofisticado ataque a nuestros servidores Live Update en un intento de atacar a un grupo de usuarios muy pequeño y específico», dijo ASUS apuntado en ese momento. El problema se solucionó en la versión 3.6.8 del software Live Update.
El desarrollo se produce unas semanas después de que ASUS formalizara anunciado que el cliente de Live Update ha llegado al final del soporte (EOS) el 4 de diciembre de 2025. La última versión es la 3.6.15. Como resultado, la CISA ha instado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aún confían en la herramienta a dejar de utilizarla antes del 7 de enero de 2026.
«ASUS está comprometida con la seguridad del software y proporciona constantemente actualizaciones en tiempo real para ayudar a proteger y mejorar los dispositivos», dijo la empresa dijo en una página de soporte. «Las actualizaciones de software automáticas y en tiempo real están disponibles a través de la aplicación ASUS Live Update. Actualiza la ASUS Live Update a la versión 3.6.8 o superior para resolver los problemas de seguridad».