CVE-2025-59374 - ASUS Live Update供应链攻击漏洞

漏洞信息

漏洞编号

CVE-2025-59374

漏洞类型

供应链攻击/后门程序

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ASUS Live Update客户端

漏洞概述

CVE-2025-59374是一个严重的供应链攻击漏洞，影响ASUS华硕Live Update客户端。该漏洞于2025年12月17日披露，CVSS评分高达9.8分，属于严重级别。攻击者通过供应链攻击的方式，在ASUS Live Update客户端的构建过程中植入了未经授权的恶意代码修改。这些被篡改的构建版本能够针对满足特定目标条件的设备执行非预期的恶意操作。值得注意的是，该漏洞具有高度针对性，只有满足特定条件的设备安装受影响的版本后才会被攻击。此外，ASUS Live Update客户端已于2021年10月达到生命周期终止（EOS）状态，因此当前在支持期内的设备或产品不受此问题影响。此漏洞无需认证即可被利用，攻击者可通过网络远程触发，影响设备的机密性、完整性和可用性。鉴于其严重性和已知被利用的可能性，建议使用过时的ASUS Live Update的用户立即采取缓解措施。

技术细节

ASUS Live Update客户端存在供应链安全漏洞，攻击者在软件构建阶段成功篡改了客户端代码。该供应链攻击允许恶意代码在合法的ASUS软件更新流程中传播。当用户设备满足特定的指纹识别条件时，被植入的后门程序会触发恶意行为，包括但不限于下载和执行额外的恶意负载、窃取敏感信息或建立持久化控制通道。由于ASUS Live Update具有自动更新功能，受影响的用户可能在不知情的情况下接收并安装了带有恶意代码的更新包。攻击者利用了ASUS作为可信软件供应商的信誉，使用户在更新时不会产生怀疑。该漏洞的利用无需任何身份验证，且可通过互联网远程触发。CVSS向量显示攻击复杂度低（AC:L），无权限要求（PR:N），无用户交互需求（UI:N），对机密性（C:H）、完整性（I:H）和可用性（A:H）均造成严重影响。

攻击链分析

STEP 1

1. 供应链入侵

攻击者通过供应链攻击获得ASUS Live Update构建系统的访问权限，在软件构建过程中植入恶意代码

STEP 2

2. 恶意更新包分发

带有后门的ASUS Live Update更新包被分发到用户设备，利用ASUS的可信品牌声誉绕过安全检测

STEP 3

3. 目标设备识别

恶意代码检查设备是否满足特定目标条件（如特定硬件配置、地理位置等），进行精准定向攻击

STEP 4

4. 恶意payload执行

满足条件的设备会触发恶意行为，包括下载额外恶意软件、建立C2通信、窃取敏感数据或执行任意代码

STEP 5

5. 持久化控制

攻击者在受感染系统上建立持久化机制，确保即使系统重启也能维持控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59374 PoC - ASUS Live Update供应链后门检测
# Reference: https://nvd.nist.gov/vuln/detail/CVE-2025-59374

import hashlib
import os
import subprocess
import json
from datetime import datetime

def get_file_hash(filepath):
    """Calculate SHA256 hash of a file"""
    sha256_hash = hashlib.sha256()
    try:
        with open(filepath, 'rb') as f:
            for byte_block in iter(lambda: f.read(4096), b""):
                sha256_hash.update(byte_block)
        return sha256_hash.hexdigest()
    except Exception as e:
        return None

def check_asus_live_update():
    """
    Check if ASUS Live Update is installed and verify its integrity
    """
    results = {
        'cve_id': 'CVE-2025-59374',
        'check_date': datetime.now().isoformat(),
        'vulnerable_paths': [],
        'status': 'UNKNOWN'
    }
    
    # Common ASUS Live Update paths
    possible_paths = [
        r'C:\Program Files\ASUS\LiveUpdate\LiveUpdate.exe',
        r'C:\Program Files (x86)\ASUS\LiveUpdate\LiveUpdate.exe',
        r'C:\ProgramData\ASUS\LiveUpdate\LiveUpdate.exe'
    ]
    
    # Known malicious hashes (placeholder - update with actual IOCs)
    malicious_hashes = [
        'PLACEHOLDER_MALICIOUS_HASH_1',
        'PLACEHOLDER_MALICIOUS_HASH_2'
    ]
    
    for path in possible_paths:
        if os.path.exists(path):
            file_hash = get_file_hash(path)
            if file_hash:
                results['vulnerable_paths'].append({
                    'path': path,
                    'sha256': file_hash,
                    'is_malicious': file_hash in malicious_hashes
                })
    
    # Check if LiveUpdate is running
    try:
        result = subprocess.run(['tasklist'], capture_output=True, text=True)
        if 'LiveUpdate' in result.stdout:
            results['status'] = 'RUNNING_AND_POTENTIALLY_VULNERABLE'
        else:
            results['status'] = 'NOT_RUNNING'
    except:
        pass
    
    return results

def mitigation_recommendations():
    """Return mitigation steps for CVE-2025-59374"""
    return [
        'ASUS Live Update reached EOL in October 2021 - uninstall if installed',
        'Use alternative update methods from ASUS support website',
        'Block ASUS Live Update executable from network connections',
        'Monitor for suspicious network traffic from LiveUpdate processes',
        'Review system for Indicators of Compromise (IOCs)'
    ]

if __name__ == '__main__':
    print('CVE-2025-59374 Detection Script')
    print('ASUS Live Update Supply Chain Compromise Check')
    print('-' * 50)
    
    results = check_asus_live_update()
    print(json.dumps(results, indent=2))
    
    print('\nRecommended Actions:')
    for rec in mitigation_recommendations():
        print(f'  - {rec}')

影响范围

ASUS Live Update客户端（受影响的构建版本）

ASUS Live Update < EOS版本（2021年10月之前的所有版本）

防御指南

临时缓解措施

由于ASUS Live Update已于2021年10月达到生命周期终止状态，建议用户立即卸载该软件。如必须使用华硕设备更新功能，应从ASUS官方支持网站手动下载更新程序，而非使用Live Update自动更新功能。同时，应启用网络防火墙规则阻止LiveUpdate.exe的网络连接，并使用端点安全工具监控相关进程的可疑行为。建议进行全面的系统安全检查以确认是否已受到该供应链攻击影响。