A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) incluiu recentemente uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas Explotadas (KEV), o que indica que ela vem sendo explorada ativamente.

A falha afeta o Asus Live Update, uma ferramenta utilitária pré-instalada em muitos laptops e desktops da Asus, responsável por verificar atualizações nos servidores da empresa e instalá-las automaticamente, incluindo arquivos de BIOS, firmware e drivers.

Segundo o Banco Nacional de Vulnerabilidades (NVD), certas versões do cliente foram distribuídas “com modificações não autorizadas introduzidas através de uma comprometimento da cadeia de suprimentos”. Essas versões modificadas permitem que agentes de ameaça “realizem ações não intencionais” em dispositivos que atendem a determinadas condições de alvo. Vale destacar que o cliente Live Update deixou de receber suporte em outubro de 2021.

A falha, agora classificada como CVE-2025-59374, recebeu uma pontuação de severidade de 9.3/10 (crítica).

De acordo com o site _The Hacker News_, a vulnerabilidade se refere a um ataque à cadeia de suprimentos que foi identificado em março de 2019. Na ocasião, a Asus reconheceu que um grupo de ameaças persistentes avançadas havia invadido alguns de seus servidores entre junho e novembro de 2018.

A Asus informou que “um pequeno número de dispositivos foi comprometido com código malicioso através de um ataque sofisticado em nossos servidores de Live Update, com a intenção de atingir um grupo de usuários muito específico”, e lançou a versão 3.6.8 para corrigir a falha.

Além do problema da Asus, a CISA também incluiu uma falha da Cisco que afeta múltiplos produtos, assim como um bug no SonicWall SMA1000.

Geralmente, quando a CISA adiciona falhas ao KEV, isso significa que as agências do Executivo Civil Federal têm um prazo de três semanas para realizar correções ou interromper o uso dos produtos afetados. No caso da falha da Asus, as agências têm até o dia 7 de janeiro para resolvê-la.

Embora não seja obrigatório para as organizações do setor privado, empresas de segurança costumam aconselhar que sigam as instruções da CISA também.