文章总结： 美国网络安全和基础设施安全局将华硕LiveUpdate工具的恶意代码漏洞CVE-2025-59374列入已知被利用漏洞目录，该漏洞源于供应链妥协攻击，攻击者在软件分发过程中植入了恶意代码。由于受影响产品已处于生命周期结束状态，无法通过常规补丁修复，CISA建议用户立即停止使用该产品或采取缓解措施，并要求美国联邦机构在2026年1月7日前完成处理。安全专家建议组织立即排查受影响组件并采取相应安全措施。 综合评分： 85 文章分类： 漏洞预警,供应链安全,安全运营,漏洞分析,网络安全

CISA将华硕恶意代码漏洞列入KEV名单

看雪学苑

看雪学苑

2025年12月19日 17:59 上海

近日，美国网络安全和基础设施安全局（CISA）将华硕一款软件的恶意代码漏洞纳入其“已知被利用漏洞（KEV）”目录，这一举措向相关用户与机构发出了紧急风险警示。

此次被标记的漏洞编号为CVE-2025-59374，影响的是华硕Live Update工具——这款工具是华硕设备的核心组件之一，主要负责向设备推送官方固件与软件更新，原本是保障设备安全的“常规工具”。

据CISA发布的公告，部分华硕Live Update客户端在分发过程中被植入了恶意代码，而这一恶意篡改的源头是攻击者实施的供应链妥协攻击。也就是说，原本应是安全可信的官方更新工具，在供应链环节被攻击者“动手脚”，摇身变成了带有恶意内容的攻击载体。

这些被篡改的工具版本，会针对满足特定条件的设备执行非预期操作。这意味着受影响设备可能被攻击者远程接管、部署恶意软件，甚至成为攻击者渗透整个网络环境的“跳板”。不过目前，攻击者筛选目标设备的具体逻辑尚未对外公开，但这种“精准定位”的设置，暗示这可能是一场针对性较强、技术水平较高的定向攻击活动。

更值得警惕的是，CISA明确指出，受此漏洞影响的华硕Live Update产品，已处于“生命周期结束（EoL）”或“服务终止（EoS）”状态。这一状态让漏洞的风险进一步升级：停服或停产的产品通常不会再获得官方安全更新，也就意味着该漏洞无法通过常规的补丁修复来解决，用户很难通过官方渠道消除这一安全隐患。

基于上述情况，CISA给出了明确的安全指引：若无法落实有效的风险缓解措施，相关用户与机构应立即停止使用该产品。对于美国联邦民用机构，CISA提出了强制要求——需在2026年1月7日前应用厂商提供的缓解方案，或直接停用受影响工具；同时，该机构也强烈敦促所有其他组织遵循相同的安全建议，避免陷入攻击风险。

此次漏洞对应的通用弱点枚举（CWE）为CWE-506（嵌入式恶意代码），这类弱点的核心风险在于：恶意内容被隐藏在合法软件中，利用用户对厂商的信任实现攻击。而供应链妥协类攻击的危害尤为突出——它能借助官方更新渠道的覆盖性，在短时间内波及大量设备，形成规模化的安全威胁。

截至目前，尚无信息表明CVE-2025-59374被用于勒索软件攻击，但它被纳入KEV目录的事实，已明确证实该漏洞在实际网络环境中已遭主动利用。

对此，安全专家建议，各组织的安全团队需立即开展排查，确认自身环境是否部署了受影响的华硕Live Update组件；若厂商提供了可用的修复方案，应第一时间应用；若无法实施有效缓解措施，则需尽快移除或替换该受影响软件，以切断潜在的攻击路径。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

查看原文：《CISA将华硕恶意代码漏洞列入KEV名单》