CISA警告華碩更新工具舊漏洞遭到攻擊

美國網路安全暨基礎設施安全局（CISA）本周警告，華碩已經停產的即時更新工具（Asus Live Update）一項重大漏洞發生駭客濫用事件。

CISA是在本周將編號CVE-2025-59374的漏洞加入已知遭濫用漏洞（Known Exploited Vulnerability）目錄，警告聯邦政府機構強化安全防護。

這項漏洞為Asus Live Update工具的嵌入式惡意程式碼漏洞，CVSS分數為9.3。CISA警告，本工具用戶端遭人透過供應鏈破壞進行非授權修改。被竄改過的軟體可能造成滿足特定攻擊條件的裝置執行非預期行為。CISA呼籲所有聯邦行政部門機構需在2026年1月7日前處理或停用受影響軟體。

CVE-2025-59374曾在2019年，被卡巴斯基研究人員發現名為Operation ShadowHammer的濫用，時間點在2018年6到11月之間，推斷是中國駭客組織發動，以其漏洞散布後門程式。但華碩已在同年3月發布更新版本。

不確定這波濫用來源為何，但CISA安全公告指出並非勒索軟體。

根據美國NIST的漏洞資料庫，Live Update的用戶端軟體已在2021年10月終止服務（End of Service），較新近的硬體應該不會受影響。

華碩在2021年10月的官方表定時程後仍持續提供支援，但該公司本月4日發布公告，將停止對Asus Live Update支援。最後一個版本為3.6.15。

根據華碩說明，現有Asus Live Update用戶可繼續使用ASUS Live Update服務，不會受到任何影響。

華碩承諾會不斷提供即時更新，幫助用戶保護和強化設備安全。使用者可以通過Asus Live Update軟體獲取自動且即時的軟體更新。該公司呼籲用戶更新Asus Live Update至V3.6.8或者更高的版本。