- CISA menambahkan kompromi rantai pasokan Asus Live Update yang penting (CVE‑2025‑59374) ke KEV, terkait dengan penginstal yang dirusak dan didistribusikan sebelum tahun 2021
- Cacat ini berasal dari insiden tahun 2018-2019, ketika penyerang menanamkan kode berbahaya di server pembaruan Asus.
- Badan-badan federal harus melakukan tindakan remediasi pada tanggal 7 Januari, dan perusahaan keamanan mendesak organisasi swasta untuk melakukan tindakan serupa
Badan Keamanan Siber dan Infrastruktur AS (CISA) baru-baru ini menambahkan kerentanan kritis baru ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), yang berarti mereka telah melihat kerentanan tersebut disalahgunakan di alam liar.
Kerentanan ini mengganggu Asus Live Update, alat utilitas yang sudah diinstal sebelumnya di banyak laptop dan desktop Asus. Ia memeriksa server Asus untuk pembaruandan menginstalnya secara otomatis, termasuk file BIOS, firmware, driver, dan lainnya.
Menurut National Vulnerability Database (NVD), versi tertentu dari klien didistribusikan “dengan modifikasi tidak sah yang dilakukan melalui kompromi rantai pasokan”. Versi yang dimodifikasi ini memungkinkan pelaku ancaman untuk “melakukan tindakan yang tidak diinginkan” pada perangkat yang memenuhi kondisi penargetan tertentu. Perlu juga disebutkan bahwa klien Live Update mencapai akhir dukungannya pada Oktober 2021.
Dimiliki oleh AISURU?
Bug tersebut sekarang dilacak sebagai CVE-2025-59374 dan diberi skor tingkat keparahan 9,3/10 (kritis).
Berita Peretas mencatat bahwa kerentanan tersebut sebenarnya mengacu pada serangan rantai pasokan yang terlihat pada bulan Maret 2019. Saat itu, ASUS mengakui adanya kelompok ancaman tingkat lanjut yang terus-menerus menerobos beberapa servernya antara bulan Juni dan November 2018.
“Sejumlah kecil perangkat telah ditanamkan kode berbahaya melalui serangan canggih pada server Live Update kami dalam upaya untuk menargetkan kelompok pengguna yang sangat kecil dan spesifik,” kata Asus saat itu, merilis versi 3.6.8 untuk mengatasi kelemahan tersebut.
Bersamaan dengan bug Asus, CISA juga menambahkan bug Cisco yang memengaruhi banyak produk, serta bug yang mengganggu SonicWall SMA1000.
Biasanya, ketika CISA menambahkan kelemahan pada KEV, itu berarti lembaga Cabang Eksekutif Sipil Federal memiliki tenggat waktu tiga minggu untuk memperbaiki atau menghentikan penggunaan produk tersebut sepenuhnya. Untuk kelemahan ASUS, agensi memiliki waktu hingga 7 Januari untuk mengatasinya.
Meskipun hal ini tidak wajib bagi organisasi di sektor swasta, perusahaan keamanan biasanya menyarankan mereka untuk mengikuti instruksi CISA juga.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
