Wybrane wersje klienta ASUS Live Update zostały rozpowszechnione z nieautoryzowanymi modyfikacjami wprowadzonymi w wyniku ataku na łańcuch dostaw. Urządzenia spełniające określone warunki targetowania, na których zainstalowano zmodyfikowane wersje, mogły wykonywać niezamierzone działania.
▸ Pokaż oryginał (EN)
"UNSUPPORTED WHEN ASSIGNED" Certain versions of the ASUS Live Update client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. Only devices that met these conditions and installed the compromised versions were affected. The Live Update client has already reached End-of-Support (EOS) in October 2021, and no currently supported devices or products are affected by this issue.
Atakujący zmodyfikowali oficjalne pakiety dystrybucyjne klienta ASUS Live Update, wprowadzając nieautoryzowany kod (CWE-506: wbudowane złośliwe oprogramowanie) jeszcze przed ich dostarczeniem do użytkowników końcowych. Tylko urządzenia spełniające określone warunki (mechanizm targetowania) i posiadające zainstalowane skompromitowane wersje były faktycznie aktywowane do wykonania niezamierzonych działań. Klient ASUS Live Update osiągnął status End-of-Support (EOS) w październiku 2021 roku i nie jest już wspierany przez producenta.
Na urządzeniach spełniających warunki targetowania atakujący mógł spowodować wykonanie niezamierzonych, nieautoryzowanych działań — zakres skutków zależy od funkcji wbudowanego złośliwego kodu. Żadne aktualnie wspierane urządzenia ani produkty ASUS nie są podatne na ten problem.
Klient ASUS Live Update osiągnął status End-of-Support w październiku 2021 roku — producent nie wyda patcha dla tej aplikacji. Należy odinstalować wszystkie wersje klienta ASUS Live Update i zaprzestać jego użytkowania. W celu weryfikacji stanu urządzenia należy zapoznać się z referencjami opublikowanymi przez ASUS pod adresem wskazanym w referencjach producenta.
Wybrane wersje klienta ASUS Live Update (wersje wskazane w referencjach producenta), dystrybuowane przed osiągnięciem statusu End-of-Support w październiku 2021 roku. Aktualnie wspierane urządzenia i produkty ASUS nie są dotknięte tym problemem.
Podatność oznaczona jako 'UNSUPPORTED WHEN ASSIGNED' — oprogramowanie ASUS Live Update osiągnęło End-of-Support w październiku 2021 roku i nie otrzyma aktualizacji zabezpieczeń. Podatność dotyczy wyłącznie urządzeń ze starszymi, skompromitowanymi wersjami klienta; żadne aktualnie wspierane produkty ASUS nie są zagrożone.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAsus Live Update
APPAsus< 3.6.8
CISA KEV — szczegółyi
- Dostawcai
- ASUS
- Produkti
- Live Update
- Data dodania do KEVi
- 17 grudnia 2025
- Termin remediation (USA)i
- 7 stycznia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze, lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
ASUS Live Update zawiera lukę w zabezpieczeniach związaną z osadzonym złośliwym kodem. Klienty zostały rozpowszechnione wraz z nieautoryzowanymi modyfikacjami wprowadzonymi poprzez kompromitację łańcucha dostaw. Zmodyfikowane kompilacje mogły powodować, że urządzenia spełniające określone warunki targetowania wykonują niezamierzone działania. Podlegający produktowi może być koniec okresu wsparcia (EoL) i/lub koniec okresu serwisu (EoS). Użytkownicy powinni zaprzestać używania produktu.
▸ Pokaż oryginał (EN)
ASUS Live Update contains an embedded malicious code vulnerability client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
Powiązane podatności
The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_...
Authentication bypass w routerach ASUS z serii DSL — nieautoryzowany dostęp zdalny
ASUS Armoury Crate — zapis i odczyt dowolnych plików przez sieć bez uwierzytelnienia
An improper access control vulnerability exists in RT-AC87U all versions. An attacker may read or write files ...
It is identified a format string vulnerability in ASUS RT-AX56U V2 & RT-AC86U. This vulnerability is caused b...