PR

CISAがASUS Live Update重大欠陥をKEV登録、悪用進行

Security

Source:https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html

🛡 概要

米CISAは、ASUS Live Updateに関する重大なサプライチェーン起因の欠陥をKnown Exploited Vulnerabilities(KEV)に追加しました。脆弱性はCVE-2025-59374(CVSS 9.3)として追跡され、実際の悪用事例が確認されたことが登録理由です。問題は2018年の「Operation ShadowHammer」で明らかになった改ざん配布に紐づくもので、特定条件を満たす端末が意図しない動作を行う恐れがあります。ASUSはこの問題をLive Update 3.6.8で修正し、最終版は3.6.15。同ソフトは2025-12-04にEOSとなっており、CISAは引き続き利用している組織に対し、2026-01-07までの廃止・移行を強く推奨しています。

🔍 技術詳細

本件は供給網の侵害により、正規配布チャネルから改ざん済みのASUS Live Updateクライアントが配信された事案に起因します。2018年に一部のビルドが権限なき変更を受け、署名付きの正規アップデータとして端末に到達しました。改ざんビルドは、ネットワークアダプタのMACアドレスを基にした600超のハードコード済みターゲット条件を満たす場合に限り、次段の不正動作を誘発する設計で、無差別感染ではなく「外科的に狙う」方式が採用されていました。正規署名により信頼チェーンを悪用し、EDRやゲートウェイの検知を回避しやすい点が本質的なリスクです。ASUSはLive Update 3.6.8で当該問題を是正し、その後の最終版は3.6.15ですが、2025-12-04にEOSとなりました。運用上は、過去に改ざん版を一度でも導入した端末が環境内に残存していないかの棚卸しが重要です。配布元が正規インフラだったことから、当時のネットワークログだけでは異常を見逃す可能性があるため、端末側のファイル履歴・署名・バージョン・インストールタイムラインの相関分析が鍵になります。

⚠ 影響

攻撃者は選択的に標的化した端末で意図しない動作を引き起こし、後続のマルウェア配置や持続化の足掛かりを得る可能性があります。正規署名を帯びたアップデータ経由で初期アクセスが成立し得るため、サプライチェーンに依存する更新基盤全体の信頼性が毀損します。結果として機密情報の窃取、端末制御、さらにはドメイン横展開のリスクが高まります。

🛠 対策

  • 資産棚卸しと根絶:全端末でASUS Live Updateの存在とバージョン履歴を列挙し、3.6.8未満や由来不明のインストーラ痕跡があれば隔離・再イメージ化を検討。
  • アンインストール/移行:EOS(2025-12-04)を踏まえ、Live Updateの運用を停止。必要に応じてベンダー推奨の代替更新手段へ移行。
  • 信頼境界の強化:アプリ許可リスト、コード署名の証明書/タイムスタンプ検証、リポジトリ/アップデートサーバーの整合性監視。
  • KEV即応:CVE-2025-59374をKEV優先度で扱い、是正・検証・是正確認(Plan-Do-Check-Act)を短サイクルで回す。
  • フォレンジック:該当期間の端末に対し、プロセス生成・ネットワーク接続・新規サービス/タスク・不審DLLのロード履歴をレビュー。

📌 SOC視点

  • インベントリ/資産:ソフトウェア台帳でASUS Live Updateの有無とバージョン、インストール時刻、署名発行者を集計。
  • イベント監視:Sysmon(1:ProcessCreate, 3:NetworkConnect, 7:ImageLoad, 11:FileCreate)やWindowsイベント(AppLocker/Evtx)の相関。
  • ハンティング例:名前に「Live Update」を含むプロセスの外向き通信頻度と宛先、起動チェーン(親/子プロセス)を抽出。バージョンが3.6.8未満または不明なものを優先精査。
  • 署名検証:実行ファイル/アップデータのコード署名がASUSTeK名義であることに加え、証明書チェーンと有効期限、タイムスタンプ整合を検証。過去署名だが配布元不明なバイナリは隔離。
  • ネットワーク:更新トラフィックの許可リスト化(ドメイン/パス)、TLS検査のメタデータ(SNI/証明書発行者)によるフィルタリング。

📈 MITRE ATT&CK

  • Initial Access: Supply Chain Compromise(T1195)— 正規アップデータ配布基盤を侵害して改ざんビルドを配布。
  • Defense Evasion: Subvert Trust Controls – Code Signing(T1553.002)— 正規署名を伴うため信頼を迂回。
  • Discovery: System Information Discovery(T1082)— MACアドレスなど端末属性で標的を識別。
  • Command and Control/Execution(状況依存)— 条件一致後に後続ペイロードを取得・実行する可能性。

🏢 組織規模別助言

  • 〜50名:全端末の手動点検でもよいので、当該ソフトの有無・バージョン・署名状態を確認し、即時アンインストール。バックアップからの復元はクリーンメディア起点で。
  • 50〜500名:EDRやRMMでソフト一覧を収集し、該当端末を自動隔離。構成管理(Intune/WSUS等)でアップデート経路を整理し、サードパーティ更新は限定的に。
  • 500名以上:SBOM・アセットDBと連携した継続的検出、コード署名検証のゲート化、供給者リスク管理(監査条項/侵害通報SLA)を制度化。KEVは48〜72時間で是正。

🔎 類似事例

  • Operation ShadowHammer(2019):ASUS Live Update改ざん配布(本件の起源)。
  • CCleaner侵害(2017):正規更新経由でトロイ化、選別的標的化。
  • SolarWinds Orion/SUNBURST(2020):ビルド環境改ざんによる広範な連鎖被害。
  • XZ Utilsバックドア(CVE-2024-3094):圧縮ライブラリに埋め込まれたサプライチェーン型バックドア。
  • 3CXサプライチェーン(2023):VoIPクライアント更新のトロイ化。

🧭 次の一手

まず、環境内のASUS Live Updateの全廃止と端末健全性確認を完了してください。次に、KEV対応の運用手順(特に供給網関連)を整備し、コード署名検証とサードパーティ更新のガバナンスを強化しましょう。併せて、サプライチェーン・リスク管理のチェックリストとEDRハンティング手順を社内ナレッジに統合し、継続監視へ移行してください。CVE-2025-59374(CVSS 9.3)に関する公式通達・ベンダーガイダンスの最新情報も定期的に確認を。