江蘇
關鍵詞
漏洞
美國網絡安全與基礎設施安全局(CISA)已將華碩某新型漏洞納入已知被利用漏洞(KEV)目錄,表明受影響用戶和組織面臨緊急風險。
漏洞詳情
該漏洞編號為(CVE-2025-59374),影響華碩Live Update工具。該工具通常用于向華碩設備推送固件和軟件更新。安全公告顯示,攻擊者通過供應鏈攻擊植入未授權修改后,特定版本的華碩Live Update客戶端被分發了內置惡意代碼的版本。
這些被篡改的版本會導致符合特定條件的設備執行非預期操作。
屬性CVE編號
CVE-2025-59374
受影響產品
華碩Live Update
漏洞類型
內置惡意代碼
相關CWE
CWE-506
攻擊向量
供應鏈攻擊
影響范圍
設備異常操作、潛在惡意軟件部署
產品狀態
已終止支持(EoL/EoS)
風險分析
攻擊者可能利用該漏洞獲取設備控制權、部署惡意軟件或進一步滲透受害環境。雖然具體觸發條件尚未公開,但定制化的攻擊邏輯表明這可能是一場針對性較強的高級攻擊活動。
CISA指出受影響產品可能已終止支持(EoL/EoS),這類產品通常不再接收安全更新,從而加劇了風險。該漏洞關聯CWE-506(內置惡意代碼)分類,指攻擊者將惡意內容植入合法軟件的威脅場景。此類供應鏈攻擊危害性極高,因其濫用用戶對廠商更新機制的信任,可快速擴散至大量系統。
應對措施
目前尚不清楚(CVE-2025-59374)是否被用于勒索軟件攻擊,但列入KEV目錄意味著已觀測到實際攻擊案例。CISA要求美國聯邦文職機構在2026年1月7日前實施廠商修復方案或停用受影響產品,并強烈建議其他組織采取相同措施。
安全團隊應立即檢查環境中部署的華碩Live Update工具,應用所有可用的廠商補丁。若無法實施緩解措施,應盡快卸載或更換受影響軟件。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
