ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çarşamba günü, aktif istismarın kanıtlarını öne sürerek, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ASUS Live Update’i etkileyen kritik bir kusur ekledi.
Şu şekilde izlenen güvenlik açığı: CVE-2025-59374 (CVSS puanı: 9.3), saldırganların istenmeyen eylemler gerçekleştirmesine izin verebilecek bir tedarik zinciri ihlali yoluyla ortaya çıkan “yerleşik kötü amaçlı kod güvenlik açığı” olarak tanımlandı.
CVE.org’da yayınlanan kusurun açıklamasına göre, “ASUS Live Update istemcisinin belirli sürümleri, tedarik zinciri ihlali yoluyla yetkisiz değişikliklerle dağıtıldı.” “Değiştirilen yapılar, belirli hedefleme koşullarını karşılayan cihazların istenmeyen eylemler gerçekleştirmesine neden olabilir. Yalnızca bu koşulları karşılayan ve güvenliği ihlal edilmiş sürümleri yükleyen cihazlar etkilendi.”
Güvenlik açığının, ASUS’un gelişmiş bir kalıcı tehdit (APT) grubunun Kaspersky tarafından ShadowHammer Operasyonu kod adlı bir kampanyanın parçası olarak bazı sunucularına sızmayı başardığını kabul ettiği Mart 2019’da ortaya çıkan tedarik zinciri saldırısına atıfta bulunduğunu belirtmekte fayda var. Faaliyetin Haziran ve Kasım 2018 arasında gerçekleştiği söyleniyor.
Rus siber güvenlik şirketi, saldırıların amacının, makineleri ağ bağdaştırıcılarının MAC adresleri tarafından tanımlanan bilinmeyen bir kullanıcı havuzunu “cerrahi olarak hedeflemek” olduğunu söyledi. Yapıların truva atı haline getirilmiş versiyonları, 600’den fazla benzersiz MAC adresinden oluşan sabit kodlu bir listeyle birlikte geldi.
ASUS, o dönemde “Çok küçük ve spesifik bir kullanıcı grubunu hedeflemek amacıyla Canlı Güncelleme sunucularımıza yönelik karmaşık bir saldırı yoluyla az sayıda cihaza kötü amaçlı kod yerleştirildi” dedi. Sorun, Canlı Güncelleme yazılımının 3.6.8 sürümünde düzeltildi.
Bu gelişme, ASUS’un Canlı Güncelleme istemcisinin 4 Aralık 2025 itibarıyla desteğin sonuna (EOS) ulaştığını resmi olarak duyurmasından birkaç hafta sonra gerçekleşti. Son sürüm 3.6.15’tir. Sonuç olarak CISA, hala araca güvenen Federal Sivil Yürütme Organı (FCEB) kurumlarına 7 Ocak 2026’ya kadar bu aracı kullanmayı bırakmaları çağrısında bulundu.
Şirket bir destek sayfasında “ASUS yazılım güvenliğine önem veriyor ve cihazları korumaya ve geliştirmeye yardımcı olmak için sürekli olarak gerçek zamanlı güncellemeler sağlıyor” dedi. “ASUS Live Update uygulaması aracılığıyla otomatik, gerçek zamanlı yazılım güncellemeleri mevcuttur. Güvenlik endişelerini gidermek için lütfen ASUS Live Update’i V3.6.8 veya daha yüksek bir sürüme güncelleyin.”