Egy lezárt ellátási lánc elleni támadás részletei
A CVE-2025-59374 egy jelentős ellátási lánc elleni támadáshoz kapcsolódik, melyben manipulált ASUS Live Update telepítőket juttattak el célzott felhasználókhoz. Ezek a binárisok kizárólag speciális feltételek mellett okoztak kárt, és csak azoknál a felhasználóknál, akik a kompromittált verziókat töltötték le és futtatták. Az érintett program támogatását 2021 októberében végleg megszüntették, ezért jelenleg nem fenyegeti a felhasználókat.
Érdemes megemlíteni, hogy
Az ASUS hivatalos tájékoztató oldala idén is frissült, de csak a dokumentáció pontosítása miatt; technikai vagy biztonsági tartalom nem változott. Ez egyben megmagyarázza, miért került a közelmúltban ismét reflektorfénybe a több éve lezárt ügy: az oldal csupán a jelenlegi verziószámokat és az elérhető frissítéseket rögzítette. Ugyanakkor a régi tanács, amely szerint legalább a 3.6.8-as verziót kell használni, már 2019-ben is szerepelt a GYIK-ben. Most a 3.6.15 a legfrissebb — és egyben utolsó — verzió, a támogatás pedig 2025. december 4-én lezárult.
Nincs új kockázat, csak emlékeztető
A CVE-2025-59374 bejegyzése inkább egyfajta visszamenőleges adminisztratív lépés: egy rég ismert támadást formalizál a CISA adatbázisában. Az amerikai kibervédelmi ügynökség megerősítette, hogy nem figyeltek meg aktív támadásokat, és a listára vétel célja inkább archiválás, mintsem az, hogy azonnali cselekvést írjon elő a biztonsági csapatoknak.
Mit tegyenek a felhasználók?
Ennek megfelelően, aki régi ASUS Live Update-et használ, biztosítsa, hogy legalább a 3.6.15-ös verzióval rendelkezzen — ezt azonban már több éve javasolják. Újabb, támogatott eszközöket vagy programokat a hiba nem érinti. Ezért nincs ok aggodalomra: csak a régi történet újralistázása zajlik, nem egy friss veszélyforrásról van szó.
