PR

CISA掲載のASUS Live Update CVEは2019年ShadowHammer

Security

Source:https://www.bleepingcomputer.com/news/security/cisa-flags-asus-live-update-cve-but-the-attack-is-years-old/

🛡 概要

ASUS Live Updateの脆弱性「CVE-2025-59374」を巡り、CISAのKEV(既知の悪用脆弱性)掲載を受けて「新たな脅威」と捉える報道が散見されます。しかし本件は2018〜2019年のサプライチェーン攻撃「ShadowHammer」を後追いでCVE化したもので、現行製品に対する新規攻撃の発生を示すものではありません。CVEの記載ではCVSS 9.3(Critical)で、割り当て時点でサポート外を示す記述(Unsupported when assigned)があり、対象ソフトは既にEoLです。

🔍 技術詳細

ShadowHammerは、正規ベンダのアップデート経路が侵害され、改ざん済みのASUS Live Updateクライアントが一部ユーザに配布されたサプライチェーン攻撃です。改ざんバイナリは正規署名を帯び、インストール後にC2へ通信し、特定条件(例:機器固有情報による絞り込み)に合致する端末のみに追加動作を実行する選別型手口でした。多数の環境では不審挙動を見せず、標的ホストでのみ次段階が展開されるため、検知が難しいのが特徴です。

本CVEの記載によれば、ASUS Live Updateは2021年10月にサポート終了(EOS)となっており、現在サポート中の製品は本件の影響を受けないとされています。一方、ASUSのFAQ(https://www.asus.com/support/faq/1018727/)は2025年12月時点の更新で、最終版を3.6.15と明記し、サポート終了日を2025/12/4と記述しています。報道によれば当該FAQは2019年の時点から同位置に掲示されており、近時の更新は文書整備や最終版の明確化に主眼があると見られます。過去のFAQでは修正を含む3.6.8以上への更新が案内されていましたが、最新版の明示が追加された形です。これらの状況証拠を踏まえると、CVE-2025-59374は既知のインシデントを正式に記録する後方視的なCVE登録であり、直近の新規悪用を示唆するものではありません。

なお、CISAのBOD 22-01は「KEV掲載は必ずしも現在の活発な悪用観測を意味しない。信頼できる悪用実績があれば古い脆弱性でも掲載対象になり得る」旨を定めています。したがって、KEV掲載=即時の攻撃活性化とは限らない点に注意が必要です。

CVSS(CVE記載):9.3 Critical

⚠ 影響

影響は主としてレガシー環境に残存するASUS Live Update(EoL版)に限定されます。現行サポート対象は本件の影響外とされていますが、サプライチェーン侵害は信頼の連鎖を直接突くため、同種手口への備えは全組織で継続的に必要です。依然としてEoLソフトが残る場合、改ざんアップデータの持続化や周辺端末への横展開に悪用されるリスクがあります。

🛠 対策

  • EoL排除と置換:資産・ソフトの棚卸(CIS 1/2)を実施し、ASUS Live Updateの旧版が残る端末を特定。最終版3.6.15への更新またはアンインストールし、ベンダ推奨の代替手段へ移行。
  • 更新経路の健全性検証:ハッシュ検証、コード署名検証、信頼ストアの最小化(Subvert Trust Controls対策)。ソフト配布は社内レポジトリで再署名・検証を徹底(CIS 16)。
  • アプリケーション許可制御と権限最小化:アップデータの実行元・パス制限(AppLocker/WDAC)、ローカル管理者権限の排除(CIS 6, 10)。
  • ネットワーク制御:アップデータの外向き通信先を許可リスト方式で制限。異常SNI/ドメインへの通信検知を導入(CIS 13)。
  • 継続的脆弱性管理:KEVは重要度判定の一要素としつつ、サポート状態・露出・代替制御の観点でリスクを再評価(CIS 7, NIST CSF ID/PR)。
  • インシデント体制:供給網侵害プレイブックの整備、ベンダ連絡先台帳、遡及的狩り込み手順の整備(NIST CSF RS/RC)。

📌 SOC視点

  • プロセス監視:アップデータ由来プロセスの子プロセス生成やスクリプト実行の逸脱を監視(Windows 4688、Sysmon 1/7)。
  • ネットワーク:アップデータ実行直後の新規外向き通信(Sysmon 3)、未知のCDN/クラウド上C2、SNI不一致や証明書チェーンの異常を検知。
  • 署名検証:実行ファイルの発行者・タイムスタンプのベースライン化。正規署名でもハッシュ差分があれば隔離。
  • 遡及ハンティング:過去に配布されたアップデータのハッシュ・ビルド番号を棚卸しし、改ざん疑義のあるバージョンを全端末で照合。
  • ふるまい検知:アップデータがレジストリ自動起動・タスク登録・LSASSハンドル取得等、通常行わない操作を行うパターンを高優先度で警報。

📈 MITRE ATT&CK

  • TA0001 Initial Access / T1195.002 Compromise Software Supply Chain:正規アップデート経路の改ざんにより侵入。
  • TA0005 Defense Evasion / T1553.002 Subvert Trust Controls: Code Signing:正規コード署名を悪用し検知回避。
  • TA0011 Command and Control / T1071.001 Web Protocols:C2との通信にHTTP(S)等を使用。
  • TA0002 Execution / T1204 User Execution(アップデータによる自動適用を含む):ユーザ/自動更新経由で実行。

根拠:攻撃はベンダ更新チャネル経由で署名付き改ざんバイナリを配布し、対象端末のみ次段階通信・実行を行ったという公開事例とCVE記載に整合します。

🏢 組織規模別助言

  • 小規模(〜50名):EoLソフトの一括棚卸と駆除を最優先。自動更新の出所を社内で統一し、端末標準化と最小権限を徹底。
  • 中規模(50〜500名):ソフト資産CMDBを整備し、KEV参照のリスク優先度付けを導入。WDAC/AppLockerで許可制、更新用プロキシのFQDN許可リスト化。
  • 大規模(500名以上):サプライヤリスク管理(CIS 15)と署名検証付き社内リポジトリ運用。SBOM収集、自動ハッシュ照合、EDRのルールでアップデータ由来の異常ふるまいを行動分析で検出。

🔎 類似事例

  • SolarWinds Orion(SUNBURST, 2020):ビルド環境改ざんによる署名付きバックドア配布。
  • 3CX Desktop App(2023):サプライチェーンを通じた実行ファイル改ざん。
  • CCleaner(2017):ソフト配布サーバ侵害による改ざん版配布。
  • XcodeGhost(2015):開発ツール改変を介したサプライチェーン感染。
  • NotPetya/MeDoc(2017):会計ソフト更新機構の悪用。

🧭 次の一手

  • KEVの実務的な読み解き方:掲載=即時対応とは限らない判断基準の整備。
  • EoLソフトの撲滅手順:発見・代替・除去・検証のチェックリスト化。
  • サプライチェーン侵害検知プレイブック:署名・ハッシュ・通信の三点監視テンプレート。