CISA inscrit une faille critique d’ASUS Live Update (CVE-2025-59374) au catalogue KEV

Selon Malwarebytes, la CISA a ajouté la vulnérabilité ASUS Live Update Embedded Malicious Code (CVE-2025-59374, CVSS 9.3) à son catalogue KEV, signalant une exploitation réelle et urgente. La faille concerne l’utilitaire ASUS Live Update, utilisé pour distribuer des mises à jour de firmware et logiciels sur les appareils ASUS. 🚨

Détails clés: la CISA indique que des appareils affectés peuvent être abusés pour exécuter des actions non prévues si certaines conditions sont réunies. Bien que le support d’ASUS Live Update soit désormais interrompu, la version finale prévue (3.6.15) continue de fournir des mises à jour, ce qui explique l’attribution d’un CVE et son ajout au KEV.

Contexte historique: en 2018, une attaque sophistiquée de la chaîne d’approvisionnement, attribuée à des acteurs étatiques chinois, a inséré une porte dérobée dans ASUS Live Update. ASUS avait reconnu en 2019 qu’un petit nombre d’appareils avaient reçu du code malveillant via une compromission de serveurs Live Update visant un groupe d’utilisateurs très spécifique. Les attaquants auraient ciblé environ 600 appareils via des adresses MAC hachées codées en dur, malgré des millions d’installations potentielles de l’outil préinstallé.

Mesures indiquées pour les utilisateurs ASUS: ASUS recommande de s’assurer d’exécuter une version « propre » et de mettre à jour vers la 3.6.8 ou ultérieure. Sur Windows: clic droit sur l’icône ASUS Live Update → About pour vérifier la version; si obsolète, lancer Check update immediately, puis Install, et vérifier ensuite l’absence de mises à jour. En alternatif, téléchargement manuel uniquement via le site officiel ASUS: rechercher le modèle exact, ouvrir Support → Driver & Tools, choisir l’OS, puis Utilities → ASUS Live Update → Download. 🔧 Étant donné l’historique des abus de chaîne d’approvisionnement, l’article déconseille les sources tierces.

TTPs observés:

Compromission de la chaîne d’approvisionnement et insertion d’une porte dérobée dans l’outil de mise à jour.
Sélection de victimes via adresses MAC hachées codées en dur.
Abus d’un utilitaire préinstallé de mise à jour automatique pour déployer du code malveillant.

Il s’agit d’un article d’alerte/vulnérabilité visant à informer sur l’exploitation active de CVE-2025-59374 et à guider les utilisateurs ASUS vers des mises à jour officielles.

🔗 Source originale : https://www.malwarebytes.com/blog/news/2025/12/cisa-warns-asus-live-update-backdoor-is-still-exploitable-seven-years-on