ASUSの脆弱性がCISAのKEVリストに追加

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、ASUS Live Updateソフトウェアに存在する深刻な脆弱性（CVE-2025-59374）を既知の悪用されている脆弱性（KEV）カタログに追加しました。これは、この脆弱性が実際に悪用されていることを示すもので、組織に対し早急な対応を促しています。

サプライチェーン攻撃の詳細

この脆弱性は、ASUS Live Updateに対する洗練されたサプライチェーン攻撃に起因します。攻撃者はソフトウェアの配布チャネルに侵入し、悪意のあるコードが組み込まれた改ざん版のビルドをエンドユーザーに届けました。これらの不正なバージョンは、特定の標的条件を満たしたデバイス上で意図しない動作を引き起こす可能性があり、高度に標的を絞った攻撃キャンペーンであったことを示唆しています。

この脆弱性はCWE-506（悪意のあるコードの埋め込み）に分類されており、サプライチェーン攻撃の深刻さを浮き彫りにしています。サプライチェーン攻撃では、脅威アクターが信頼されたソフトウェアが顧客に届く前に侵害するため、広範囲に影響が及ぶ可能性があります。影響を受けるのは、侵害期間中に配布されたASUS Live Updateクライアントです。

CISAの警告と推奨事項

CISAは、影響を受ける製品の一部が既にサポート終了（EoL）またはサービス終了（EoS）となっている可能性があり、これにより組織にとっての修復作業が複雑になることを警告しています。連邦政府機関は、CISAの拘束力のある運用指令22-01に従い、2026年1月7日までにこの脆弱性に対処する必要があります。

組織は、ベンダーの指示に従って直ちに緩和策を適用するか、クラウドサービスに関する該当するガイダンスに従うよう強く推奨されています。緩和策が利用できない場合は、影響を受ける製品の使用を完全に中止することが推奨されています。

今後の対策

CVE-2025-59374がランサムウェアキャンペーンに悪用されたかどうかは不明ですが、KEVカタログへの追加は、脅威アクターによる活発な悪用が確認されたことを意味します。サプライチェーン攻撃の性質上、侵害されたソフトウェアが検出される前に広く拡散する可能性があるため、懸念が高まっています。

ASUS Live Updateを使用している組織は、直ちにソフトウェアのバージョンを確認し、不審なアクティビティがないかシステムログをレビューし、推奨されるセキュリティ対策を実施することが不可欠です。このインシデントは、マルウェアを配布するためにソフトウェア更新メカニズムを標的とするサプライチェーン攻撃の脅威が増大していることを強調しています。

元記事: https://gbhackers.com/actively-exploited-asus-vulnerability-added-to-cisas-kev-list/