De supplychain-aanval via Asus Live Update die in 2019 plaatsvond is voorzien van een CVE-nummer. Aanvallers wisten de updatesoftware van Asus te compromitteren en konden zo een backdoor onder gebruikers uitrollen. Hoewel de aanval zich meer dan zes jaar geleden voordeed is die nu pas van een CVE-nummer voorzien, aangeduid als CVE-2025-59374.

Begin 2019 werd bekend dat aanvallers van juni tot en met november 2018 malafide updates via Live Update hadden verspreid die een backdoor bleken te bevatten. De ASUS Live Update-software draait op miljoenen computers wereldwijd en voorziet Asus-computers automatisch van nieuwe drivers, software en BIOS-updates. Wanneer onderzoekers of bedrijven een kwetsbaarheid vinden wordt hier vaak een CVE-nummer aan toegekend.

Gisteren verscheen CVE-2025-59374, waarin staat dat bepaalde versies van de ASUS Live Update-software via een supplychain-aanval zijn aangepast en verspreid. Deze aangepaste versies zorgden ervoor dat computers die aan bepaalde voorwaarden voldeden "onbedoelde acties" uitvoerden. Wat de voorwaarden en acties inhouden staat niet in de CVE-omschrijving vermeld. Eerder was echter al bekend dat op basis van MAC-adressen aanvullende malware bij slachtoffers werd geïnstalleerd.

De gecompromitteerde Asus Live Update-versies worden sinds 2021 niet meer ondersteund. Het gaat om versies voor versie 3.6.6. Asus maakte een aantal dagen geleden bekend dat het Live Update inmiddels helemaal niet meer ondersteund. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Het Amerikaanse cyberagentschap CISA heeft het beveiligingslek in de lijst van aangevallen kwetsbaarheden opgenomen en overheidsinstanties opgeroepen Asus Live Update niet meer te gebruiken omdat het end-of-life is.