La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla crítica que afecta a ASUS Live Update a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-59374 (Puntuación CVSS: 9,3) se describió como una “vulnerabilidad de código malicioso incorporado” introducida a través de un compromiso de la cadena de suministro que podría permitir a los atacantes realizar acciones no deseadas.
“Ciertas versiones del cliente ASUS Live Update se han distribuido con cambios no autorizados introducidos a través de un compromiso de la cadena de suministro”, se lee en una descripción del error publicada en CVE.org. “Las compilaciones modificadas podrían hacer que los dispositivos que cumplen ciertas condiciones objetivo realicen acciones no deseadas. Sólo los dispositivos que cumplieron estas condiciones e instalaron las versiones vulnerables se vieron afectados”.
Vale la pena señalar que la vulnerabilidad se refiere al ataque a la cadena de suministro que salió a la luz en marzo de 2019, cuando ASUS admitió que un grupo de Amenaza Persistente Avanzada (APT) logró irrumpir en algunos de sus servidores como parte de una campaña con nombre en código Operación ShadowHammer de Kaspersky. Se dice que la actividad tuvo lugar entre junio y noviembre de 2018.
La empresa rusa de ciberseguridad dijo que el objetivo de los ataques era “atacar quirúrgicamente” a un grupo desconocido de usuarios cuyas computadoras serían identificadas por las direcciones MAC de sus adaptadores de red. Las versiones troyanizadas de los artefactos venían con una lista codificada de más de 600 direcciones MAC únicas.
“Una pequeña cantidad de dispositivos fueron infectados con código malicioso a través de un sofisticado ataque a nuestros servidores de actualización en vivo dirigido a un grupo muy pequeño y específico de usuarios”, señaló ASUS en ese momento. El problema se resolvió en la versión 3.6.8 del software Live Update.
El desarrollo se produce unas semanas después de que ASUS anunciara oficialmente que el cliente Live Update alcanzó el fin de soporte (EOS) el 4 de diciembre de 2025. La última versión es 3.6.15. Por esta razón, CISA ha pedido a las agencias del Poder Ejecutivo Civil Federal (FCEB) que todavía dependen de la herramienta que dejen de usarla antes del 7 de enero de 2026.
“ASUS está comprometida con la seguridad del software y proporciona periódicamente actualizaciones en tiempo real para proteger y mejorar los dispositivos”, dice la compañía en una página de soporte. “Las actualizaciones de software automáticas en tiempo real están disponibles a través de la aplicación ASUS Live Update. Actualice ASUS Live Update a V3.6.8 o posterior para solucionar problemas de seguridad”.
About The Author
