CVE-2025-59374 é uma vulnerabilidade crítica em versões comprometidas do ASUS Live Update, utilitário usado para distribuir atualizações de firmware e software, nas quais código malicioso foi embutido após um comprometimento de cadeia de suprimentos. A falha, classificada como CWE‑506 (embedded malicious code), levou a CISA a adicioná-la ao catálogo Known Exploited Vulnerabilities (KEV) após evidências de exploração ativa, indicando risco urgente para usuários e organizações que ainda utilizam o produto.
Como a vulnerabilidade foi introduzida
Segundo os registros de CVE, clientes específicos do ASUS Live Update foram distribuídos com código malicioso embutido, fruto de modificações não autorizadas introduzidas no processo de build ou distribuição oficial. Esses builds trojanizados podem fazer com que dispositivos que atendam a certas condições de alvo executem ações não intencionais, potencialmente permitindo que atacantes ganhem controle, implantem malware adicional ou aprofundem o comprometimento do ambiente.
Relação com comprometimento de supply chain
A vulnerabilidade está associada a um cenário clássico de supply chain compromise, em que o canal de atualização confiável do fornecedor é abusado para distribuir software adulterado em larga escala. Nesse tipo de ataque, mecanismos de confiança como assinatura digital e atualizações automáticas trabalham a favor do invasor, facilitando a disseminação rápida do código malicioso entre dispositivos ASUS que utilizam o Live Update.
Produto em fim de vida e exigência da CISA
A CISA destaca que o ASUS Live Update impactado já se encontra em estado de fim de vida (EoL/EoS), o que aumenta o risco, pois produtos nessa condição normalmente deixam de receber correções de segurança. Por isso, a agência determina que órgãos federais civis dos EUA apliquem mitigações do fornecedor ou descontinuem o uso do software até 7 de janeiro de 2026, recomendando fortemente que todas as demais organizações façam o mesmo.
Potenciais impactos e incertezas atuais
Ainda não está claro publicamente se o CVE-2025-59374 já foi explorado em campanhas de ransomware, mas sua presença no KEV confirma observação de exploração ativa no mundo real. A existência de lógica de targeting não divulgada sugere uma campanha focada e possivelmente avançada, na qual apenas determinados dispositivos são acionados para executar ações maliciosas, alinhando-se a perfis de operações de espionagem ou ataques de alto valor.
Ações recomendadas para segurança
Equipes de segurança devem revisar imediatamente seus ambientes em busca de instalações do ASUS Live Update afetadas, verificando versões e status de suporte. Quando não houver mitigação eficaz disponível, a orientação oficial é interromper o uso do produto, desinstalar o software e, se necessário, planejar a substituição de dispositivos legados, além de reforçar controles de supply chain, como validação de atualizações, segmentação de redes de gestão e acompanhamento contínuo de alertas da CISA e do fornecedor.






