ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ASUS Live Update yazılımındaki kritik bir güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) kataloğuna ekledi. CVE-2025-59374 olarak takip edilen bu açık, yıllar önce gerçekleşen bir tedarik zinciri saldırısından kaynaklanıyor ve şu anda devam eden sömürü kanıtları ortaya çıkıyor. Açığın CVSS puanı 9.3 ile kritik seviyededir.

Önemli Noktalar

  • ASUS Live Update yazılımındaki kritik bir güvenlik açığı (CVE-2025-59374), CISA’nın KEV kataloğuna eklenmiştir.
  • Açık, 2018-2019 yıllarına dayanan bir tedarik zinciri saldırısının sonucudur ve bu saldırıya Operasyon ShadowHammer adı verilmiştir.
  • Açığın eski olmasına rağmen, CISA aktif sömürü kanıtları olduğunu belirtmektedir.
  • ASUS Live Update yazılımı, Aralık 2025 itibarıyla destek süresinin sonuna ulaşmıştır.
  • Kullanıcılara, yazılımın desteklenmediği ve sürekli güvenlik riski taşıdığı için yazılımı kaldırmaları önerilmektedir.

ShadowHammer Saldırısı

Açık, 2018 yılının Haziran ile Kasım ayları arasında gerçekleşen ShadowHammer tedarik zinciri saldırısıyla ilişkilidir. Bu süre zarfında, saldırganlar ASUS sunucularını ele geçirerek ASUS Live Update istemcisinin değiştirilmiş versiyonlarını dağıtmışlardır. Bu değiştirilmiş versiyonlar, belirli hedefleme koşullarını karşılayan cihazlarda istenmeyen eylemler gerçekleştirebilecek kötü amaçlı kodlar içermekteydi.

CISA’nın Uyarısı ve KEV Kataloğu

CISA’nın CVE-2025-59374'ü KEV kataloğuna eklemesi, açığın sahada sömürüldüğünün bilindiğini göstermektedir. Bu ekleme, Federal Sivil İdare Daireleri (FCEB) ajanslarının açığı belirli bir tarihe kadar, 7 Ocak 2026'ya kadar ele almasını zorunlu kılmaktadır. CISA, tüm KEV eklemelerinin yeni bir sömürü anlamına gelmediğini kabul etse de, ajansın duruşu bu özel açığa yönelik yenilenen bir endişeyi işaret etmektedir.

ASUS | Live Update

CVE-2025-59374

ASUS Live Update Gömülü Kötü Amaçlı Kod Açığı: ASUS Live Update, tedarik zinciri ihlali yoluyla yapılan yetkisiz değişikliklerle dağıtılan bir gömülü kötü amaçlı kod açığı içermektedir. Değiştirilmiş sürümler, belirli hedefleme koşullarını karşılayan cihazların istenmeyen eylemler gerçekleştirmesine neden olabilmektedir. Etkilenen ürün, kullanım ömrü sona ermiş (EoL) ve/veya hizmet süresi sona ermiş (EoS) olabilir. Kullanıcıların ürün kullanımını durdurmaları önerilmektedir.

Hareket: Satıcı talimatlarına göre önlemler alın, bulut hizmetleri için geçerli BOD 22-01 kılavuzuna uyun veya önlemler mevcut değilse ürünün kullanımını durdurun.

Eklenme Tarihi: 2025-12-17
Son Tarih: 2026-01-07

Destek Süresinin Sona Ermesi ve Kullanıcı Eylemi

ASUS, ASUS Live Update uygulaması için desteğin sona erdiğini 4 Aralık 2025 tarihinde duyurmuştur ve 3.6.15 sürümü son sürüm olmuştur. Yazılımın artık desteklenmediği ve sürekli sömürü riski taşıdığı göz önüne alındığında, güvenlik uzmanları tüm ASUS kullanıcılarının Live Update yazılımını derhal kaldırmalarını şiddetle önermektedir. ASUS, daha önce güvenlik endişelerini azaltmak için 3.6.8 veya daha yüksek sürüme güncellenmesini önermiş olsa da, desteğin sona ermesi devam eden kullanımı tavsiye etmemektedir.

Açık Bildiriminde Nuansta

CVE ataması ve CISA’nın KEV listesindeki CVE-2025-59374’ün, iyi belgelenmiş tarihi bir saldırının geriye dönük sınıflandırması olduğu önemlidir. ASUS’un destek sayfalarındaki güncellemeler, son tarihli olsa da, yeni veya ortaya çıkan bir tehdidi göstermemekte, daha ziyade geçmiş olayların resmileştirilmesi anlamına gelmektedir. Ancak, temel mesaj değişmemektedir: yazılım desteklenmemektedir ve önemli bir risk taşımaktadır.