Trusted DesignCVE-2025-59374 の詳細
CVEの情報
説明:
"UNSUPPORTED WHEN ASSIGNED" Certain versions of the ASUS Live Update client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. Only devices that met these conditions and installed the compromised versions were affected. The Live Update client has already reached End-of-Support (EOS) in October 2021, and no currently supported devices or products are affected by this issue.
CVE更新日: 2025-12-17 05:16:13.080000
CVSSバージョン: 4.0
CVSSスコア: 9.3
KEVの情報
KEV更新日: 2025-12-17
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.359590000
EPSS更新日: 2026-01-14 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE‑2025‑59374は、ASUS Live Updateクライアントがサプライチェーン攻撃により改ざんされたバージョンを配布していた問題です。改ざんされたビルドは、特定条件を満たすデバイスに対して意図しない動作を引き起こす可能性があるとされています。 当該Live Updateクライアントは2021年10月にサポート終了(EOS)しており、現在サポートされているASUS製品は影響を受けないと明記されています。 CISAは本件をCVE-2025-59374と2025年のCVE IDを付与していますが、実際には2019年に発生した「ShadowHammer」事件の脆弱性を遡及的に言明したのではないかと思われます。PSIRTチームはこのようなCVEもあることを念頭に活動する必要があります。 1. 脆弱性の概要 【影響】 ・改ざんされた ASUS Live Update クライアントがインストールされた場合、特定のターゲティング条件を満たすデバイスで意図しない動作が発生する可能性。 ・これは サプライチェーン攻撃による不正な改変に起因する。 【深刻度】 CVSS 9.8(Critical)と記載 2. 対象となる環境 【影響を受ける製品 / バージョン】 ・ASUS Live Updateクライアント ・バージョン3.6.8より前のバージョンが影響対象として記載 ・ただし、Live Updateクライアント自体が2021年10月にEOS 【影響を受ける設定】 ・改ざんされたLive Updateクライアントをインストールしていること ・特定のターゲティング条件を満たすデバイスのみ影響(ただし、ターゲティング条件は未公開) 3. 影響を受けた時の兆候 ・公開情報には具体的な兆候の記載なし 4. 推奨対策 【本対策(恒久対策)】 ・ASUS Live UpdateクライアントはEOSのためパッチ提供なし ・ASUSは公式アドバイザリで、影響を受けるLive Updateの使用停止を推奨している ・影響バージョンのLive Updateクライアントを削除 ・サポートされているASUSソフトウェアへの移行 【暫定回避策(緩和策)】 対象のASUS Live Updateクライアントを利用している場合は、ネットワークに接続しないなどの対策が考えられます。 5. 追加で知っておくべき観点 ・サプライチェーン攻撃である点 サプライチェーンも含めたセキュリティ対策が必要である。