Hack Alerta

CISA inclui falha crítica no ASUS Live Update após exploração ativa

Por Redação Hack Alerta Publicado em 18/12/2025 05:03 Riscos e Ameaças Tempo de leitura: 3 min

A CISA adicionou ao seu catálogo KEV a falha CVE‑2025‑59374 no ASUS Live Update, apontada como resultado de um comprometimento na cadeia de suprimentos e com evidência de exploração ativa. O CVSS reportado é 9.3; advisories oficiais e patches devem ser acompanhados de perto por administradores.

A U.S. Cybersecurity and Infrastructure Security Agency (CISA) adicionou ao catálogo Known Exploited Vulnerabilities (KEV) uma falha crítica que afeta o componente ASUS Live Update, citando evidências de exploração ativa. A vulnerabilidade é identificada como CVE‑2025‑59374 e recebeu CVSS 9.3 segundo o resumo técnico.

Natureza da vulnerabilidade

De acordo com os informes disponíveis, a falha foi descrita como uma "embedded malicious code vulnerability" introduzida por meio de um comprometimento na cadeia de suprimentos. A inclusão no KEV indica que há indícios concretos de exploração no mundo real, o que eleva a prioridade de correção para administradores e equipes de resposta.

Vetor e consequência

Fontes apontam para um comprometimento do processo de atualização (ASUS Live Update), permitindo que código malicioso seja entregue a sistemas de usuários finais. A gravidade (CVSS 9.3) sugere possibilidade de execução remota ou comprometimento amplo do dispositivo, embora detalhes técnicos completos sobre vetores de exploração não tenham sido publicados nas fontes citadas.

O que fazem fabricantes e órgãos

A entrada no KEV costuma ser acompanhada de orientações para mitigação e aplicação imediata de patches. No entanto, as comunicações públicas examinadas não trazem um link direto para um patch específico nem uma lista exaustiva de versões afetadas — essa informação é necessária para operacionalizar um rollout de correção e, portanto, ainda falta nas fontes consultadas.

Recomendações imediatas

  • Tratar sistemas com ASUS Live Update como de alta prioridade para investigação.
  • Desabilitar mecanismos automáticos de atualização onde possível até que haja instruções oficiais e patches validados.
  • Monitorar sinais de comportamento anômalo pós‑atualização (processos não conhecidos, conexões de rede persistentes, presença de binários não assinados).
  • Consultar advisories oficiais da ASUS e da CISA para aplicar patches assim que disponibilizados.

Limitações das informações

Não há, nas fontes reunidas, um disclosure técnico completo que detalhe as versões afetadas ou amostras de exploit; portanto, medidas de contenção devem seguir princípio da cautela até que a fabricante publique correção e indicadores de compromisso (IoCs).

Fonte

Resumo baseado em inclusão no catálogo KEV da CISA e cobertura em veículos de segurança que relataram o CVE‑2025‑59374 com CVSS 9.3 e descrição de comprometimento por cadeia de suprimentos.

Baseado em publicação original de The Hacker News
Tags: #asus #cve-2025-59374 #supply-chain #cisa #live-update #kev #exploracao-ativa #seguranca #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar