Vulnerabilidade crítica no ASUS Live Update é explorada ativamente

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

Fonte: https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
18/12/2025 • Risco: CRITICO
VULNERABILIDADE

Vulnerabilidade crítica no ASUS Live Update é explorada ativamente

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-59374 no ASUS Live Update representa um risco crítico devido à sua exploração ativa e ao impacto potencial em dispositivos utilizados por organizações. A recomendação da CISA para descontinuar o uso do software até janeiro de 2026 destaca a urgência de ações corretivas para mitigar riscos de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a incidentes de segurança e perda de dados.
Operacional
Possibilidade de execução de ações indesejadas em dispositivos afetados.
Setores vulneráveis
['Tecnologia da Informação', 'Setores que utilizam produtos ASUS']

📊 INDICADORES CHAVE

Pontuação CVSS: 9.3 Indicador
Mais de 600 endereços MAC únicos identificados como alvo Contexto BR
Versão final do software: 3.6.15 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se o software ASUS Live Update está em uso e sua versão.
2 Descontinuar o uso do ASUS Live Update até que uma solução segura seja implementada.
3 Monitorar atualizações de segurança e possíveis novas vulnerabilidades relacionadas ao software.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de software amplamente utilizado, que pode impactar a integridade dos sistemas.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).