- CISA agregó un compromiso crítico de la cadena de suministro de Asus Live Update (CVE-2025-59374) a KEV, vinculado a instaladores manipulados distribuidos antes de 2021
- La falla surge de un incidente ocurrido en 2018-2019, donde los atacantes colocaron código malicioso en los servidores de actualización de Asus.
- Las agencias federales deben encontrar soluciones antes del 7 de enero, y las agencias de seguridad instan a las empresas privadas a hacer lo mismo.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó recientemente una nueva vulnerabilidad crítica a su catálogo de Vulnerabilidades Explotables Conocidas (KEV), lo que significa que ha visto explotación en la naturaleza.
La vulnerabilidad afecta a Asus Live Update, una herramienta de utilidad que viene preinstalada en muchas computadoras portátiles y de escritorio Asus. Comprueba los servidores Asus en busca de actualizaciones y los instala automáticamente junto con archivos BIOS, firmware, controladores y más.
Según la Base de datos nacional de vulnerabilidad (NVD), algunas versiones del cliente se distribuyeron “con modificaciones no autorizadas introducidas a través de un compromiso de la cadena de suministro”. Estas compilaciones modificadas permiten a los actores de amenazas “realizar acciones no deseadas” en dispositivos que cumplen ciertas condiciones de objetivo. También vale la pena mencionar que el cliente Live Update llegó al final del soporte en octubre de 2021.
¿Propiedad de AISURU?
El error ahora se rastrea como CVE-2025-59374 y se le asigna una puntuación de gravedad de 9,3/10 (crítico).
Noticias de piratas informáticos Tenga en cuenta que la vulnerabilidad en realidad se refiere a un ataque a la cadena de suministro que se vio en marzo de 2019. En ese momento, ASUS reconoció que un grupo de amenazas persistentes avanzadas violó algunos de sus servidores entre junio y noviembre de 2018.
“A varios dispositivos se les implantó código malicioso a través de un sofisticado ataque a nuestros servidores de actualización en vivo en un intento de apuntar a un grupo de usuarios muy pequeño y específico”, señaló Asus entonces, lanzando la versión 3.6.8 para corregir la falla.
Junto con el error de Asus, CISA ha agregado un error que afecta a varios productos, así como al SonicWall SMA1000.
Generalmente, cuando CISA agrega fallas al KEV, eso significa que las agencias federales del poder ejecutivo civil tienen una ventana de tres semanas para reparar o dejar de usar los productos por completo. En cuanto al error de ASUS, las agencias tienen hasta el 7 de enero para solucionarlo
Aunque no es obligatorio para las organizaciones del sector privado, las empresas de seguridad generalmente recomiendan que ellas también sigan las pautas de CISA.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
