Americká agentura pro kybernetickou bezpečnost CISA zařadila novou položku do svého katalogu aktivně zneužívaných zranitelností. Tentokrát jde o problém spojený s nástrojem Asus Live Update, který byl roky předinstalovaný na noteboocích a stolních počítačích této značky. Podle úřadu existují důkazy, že zranitelnost byla skutečně zneužívána v reálných útocích.

Asus Live Update slouží k automatickému stahování a instalaci aktualizací, včetně ovladačů, firmwaru nebo BIOSu. Právě tato důvěra v oficiální aktualizační kanál se stala slabým místem. Některé verze klienta byly totiž v minulosti distribuovány s neautorizovanými úpravami, které umožňovaly útočníkům provádět na vybraných zařízeních nechtěné akce.

Zdroj: Shutterstock

Kořeny problému sahají do let 2018 a 2019

Samotná zranitelnost, dnes označená jako CVE 2025 59374, odkazuje na incident, který Asus přiznal už v roce 2019. Mezi červnem a listopadem 2018 se útočníkům podařilo proniknout na aktualizační servery společnosti a do instalačních balíčků vložit škodlivý kód. Nešlo o masový útok, ale o cílenou operaci zaměřenou na velmi úzkou skupinu zařízení.

Asus tehdy vydal opravenou verzi nástroje a uvedl, že pouze malé množství uživatelů bylo skutečně zasaženo. Přesto je důležité připomenout, že Live Update dosáhl konce podpory už v říjnu 2021. To znamená, že zařízení, která tento nástroj stále používají, mohou zůstávat zranitelná bez možnosti oficiálních oprav.

CISA udělila této chybě hodnocení 9,3 z 10, což ji řadí mezi kritické. Federální úřady v USA mají povinnost problém vyřešit nejpozději do 7. ledna, a to buď aktualizací, nebo úplným vyřazením dotčeného softwaru. Pro soukromé firmy a domácí uživatele to povinné není, bezpečnostní experti ale doporučují postupovat stejně.

V praxi to znamená zkontrolovat, zda se Asus Live Update na zařízení vůbec nachází a pokud ano, zda má ještě smysl ho používat. U starších počítačů je často bezpečnější nástroj odstranit a aktualizace řešit ručně přes oficiální podporu výrobce.