- CISA, KEV’e 2021’den önce dağıtılan kurcalanmış yükleyicilerle bağlantılı kritik bir Asus Live Update tedarik zinciri ihlali (CVE‑2025‑59374) ekledi
- Kusur, saldırganların Asus güncelleme sunucularına kötü amaçlı kod yerleştirdiği 2018-2019 olayından kaynaklanıyor
- Federal kurumların 7 Ocak’a kadar düzeltme yapması gerekiyor ve güvenlik firmaları da özel kuruluşları bu davayı takip etmeye çağırıyor
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna yeni bir kritik güvenlik açığı ekledi; bu, bu güvenlik açığının vahşi ortamda kötüye kullanıldığı anlamına geliyor.
Güvenlik açığı, birçok Asus dizüstü ve masaüstü bilgisayara önceden yüklenmiş olarak gelen bir yardımcı araç olan Asus Live Update’i rahatsız ediyor. Asus sunucularını kontrol eder güncellemelerve BIOS dosyaları, bellenim, sürücüler ve daha fazlası dahil olmak üzere bunları otomatik olarak yükler.
Ulusal Güvenlik Açığı Veritabanına (NVD) göre, istemcinin belirli sürümleri “tedarik zinciri ihlali yoluyla yapılan yetkisiz değişikliklerle” dağıtıldı. Bu değiştirilmiş yapılar, tehdit aktörlerinin belirli hedefleme koşullarını karşılayan cihazlarda “istenmeyen eylemler gerçekleştirmesine” olanak tanır. Canlı Güncelleme istemcisinin Ekim 2021’de desteğin sonuna ulaştığını da belirtmekte fayda var.
AISURU’ya mı ait?
Hata şu anda CVE-2025-59374 olarak izleniyor ve 9,3/10 (kritik) önem puanı verildi.
Hacker Haberleri güvenlik açığının aslında Mart 2019’da tespit edilen bir tedarik zinciri saldırısına atıfta bulunduğunu belirtiyor. O zamanlar ASUS, Haziran ve Kasım 2018 arasında gelişmiş bir kalıcı tehdit grubunun bazı sunucularına saldırı düzenlediğini kabul etmişti.
Asus, o zamanlar kusuru gidermek için 3.6.8 sürümünü yayınlayarak, “Çok küçük ve spesifik bir kullanıcı grubunu hedeflemek amacıyla Canlı Güncelleme sunucularımıza karmaşık bir saldırı yoluyla az sayıda cihaza kötü amaçlı kod yerleştirildi.” dedi.
Asus hatasıyla birlikte CISA, birden fazla ürünü etkileyen bir Cisco kusurunun yanı sıra SonicWall SMA1000’i rahatsız eden bir hatayı da ekledi.
Genellikle CISA, KEV’e kusurlar eklediğinde, bu, Federal Sivil Yürütme Organı kurumlarının ürünleri düzeltmeleri veya tamamen kullanmayı bırakmaları için üç haftalık bir süreye sahip olduğu anlamına gelir. ASUS kusurunu gidermek için ajansların 7 Ocak’a kadar süreleri var.
Özel sektördeki kuruluşlar için zorunlu olmasa da güvenlik şirketleri genellikle onlara da CISA’nın talimatlarına uymalarını tavsiye ediyor.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.