美国网络安全与基础设施安全局(CISA)已将华硕某新型漏洞纳入已知被利用漏洞(KEV)目录,表明受影响用户和组织面临紧急风险。
漏洞详情
该漏洞编号为(CVE-2025-59374),影响华硕Live Update工具。该工具通常用于向华硕设备推送固件和软件更新。安全公告显示,攻击者通过供应链攻击植入未授权修改后,特定版本的华硕Live Update客户端被分发了内置恶意代码的版本。
这些被篡改的版本会导致符合特定条件的设备执行非预期操作。
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-59374 |
| 受影响产品 | 华硕Live Update |
| 漏洞类型 | 内置恶意代码 |
| 相关CWE | CWE-506 |
| 攻击向量 | 供应链攻击 |
| 影响范围 | 设备异常操作、潜在恶意软件部署 |
| 产品状态 | 已终止支持(EoL/EoS) |
风险分析
攻击者可能利用该漏洞获取设备控制权、部署恶意软件或进一步渗透受害环境。虽然具体触发条件尚未公开,但定制化的攻击逻辑表明这可能是一场针对性较强的高级攻击活动。
CISA指出受影响产品可能已终止支持(EoL/EoS),这类产品通常不再接收安全更新,从而加剧了风险。该漏洞关联CWE-506(内置恶意代码)分类,指攻击者将恶意内容植入合法软件的威胁场景。此类供应链攻击危害性极高,因其滥用用户对厂商更新机制的信任,可快速扩散至大量系统。
应对措施
目前尚不清楚(CVE-2025-59374)是否被用于勒索软件攻击,但列入KEV目录意味着已观测到实际攻击案例。CISA要求美国联邦文职机构在2026年1月7日前实施厂商修复方案或停用受影响产品,并强烈建议其他组织采取相同措施。
安全团队应立即检查环境中部署的华硕Live Update工具,应用所有可用的厂商补丁。若无法实施缓解措施,应尽快卸载或更换受影响软件。
