CISA រាយការណ៍ពីចំណុចខ្វះខាតដ៏សំខាន់មួយរបស់ ASUS Live Update បន្ទាប់ពីមានភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធសហរដ្ឋអាមេរិក (CISA) បានបន្ថែមកំហុសឆ្គងដ៏សំខាន់មួយដែលប៉ះពាល់ដល់ ASUS Live Update ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ខ្លួន ដោយលើកឡើងពីភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-59374 (ពិន្ទុ CVSS: 9.3) ត្រូវបានពិពណ៌នាថាជា "ចំណុចខ្សោយកូដព្យាបាទដែលបានបង្កប់" ដែលបង្កើតឡើងដោយមធ្យោបាយនៃការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់ ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើសកម្មភាពដែលមិនបានគ្រោងទុក។

យោងតាមការពិពណ៌នាអំពីកំហុសឆ្គងដែលបានបោះពុម្ពផ្សាយនៅក្នុង CVE.org "កំណែមួយចំនួននៃកម្មវិធី ASUS Live Update ត្រូវបានចែកចាយជាមួយនឹងការកែប្រែដែលគ្មានការអនុញ្ញាតដែលត្រូវបានណែនាំតាមរយៈការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់"។ "ការបង្កើតដែលបានកែប្រែអាចបណ្តាលឱ្យឧបករណ៍ដែលបំពេញតាមលក្ខខណ្ឌគោលដៅជាក់លាក់អនុវត្តសកម្មភាពដែលមិនបានគ្រោងទុក។ មានតែឧបករណ៍ដែលបំពេញតាមលក្ខខណ្ឌទាំងនេះ និងបានដំឡើងកំណែដែលសម្របសម្រួលប៉ុណ្ណោះដែលរងផលប៉ះពាល់"។

គួរកត់សម្គាល់ថា ភាពងាយរងគ្រោះនេះសំដៅទៅលើការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលបានលេចចេញនៅក្នុងខែមីនា ឆ្នាំ២០១៩ នៅពេលដែល ASUS បានទទួលស្គាល់ថាក្រុមគំរាមកំហែងដ៏យូរអង្វែង (APT) បានគ្រប់គ្រងការលួចចូលម៉ាស៊ីនមេមួយចំនួនរបស់ខ្លួន ដែលជាផ្នែកមួយនៃយុទ្ធនាការមួយដែលមានឈ្មោះកូដថា Operation ShadowHammer ដោយ Kaspersky។ សកម្មភាពនេះត្រូវបានគេនិយាយថាបានដំណើរការរវាងខែមិថុនា និងខែវិច្ឆិកា ឆ្នាំ២០១៨។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតរបស់រុស្ស៊ីបាននិយាយថា គោលដៅនៃការវាយប្រហារនេះគឺដើម្បី "កំណត់គោលដៅវះកាត់" ក្រុមអ្នកប្រើប្រាស់ដែលមិនស្គាល់ដែលម៉ាស៊ីនរបស់ពួកគេត្រូវបានកំណត់អត្តសញ្ញាណដោយអាសយដ្ឋាន MAC របស់អាដាប់ទ័របណ្តាញរបស់ពួកគេ។ កំណែ trojanized នៃ artifacts ត្រូវបានបង្កប់ជាមួយនឹងបញ្ជី hard-coded នៃអាសយដ្ឋាន MAC តែមួយគត់ជាង ៦០០។

ASUS បានកត់សម្គាល់នៅពេលនោះថា "ឧបករណ៍មួយចំនួនតូចត្រូវបានបង្កប់ជាមួយកូដព្យាបាទតាមរយៈការវាយប្រហារដ៏ស្មុគស្មាញលើម៉ាស៊ីនមេ Live Update របស់យើងក្នុងការប៉ុនប៉ងកំណត់គោលដៅក្រុមអ្នកប្រើប្រាស់តូច និងជាក់លាក់មួយ"។ បញ្ហានេះត្រូវបានជួសជុលនៅក្នុងកំណែ 3.6.8 នៃកម្មវិធី Live Update។

ការវិវឌ្ឍនេះកើតឡើងពីរបីសប្តាហ៍បន្ទាប់ពី ASUS បានប្រកាសជាផ្លូវការថា កម្មវិធី Live Update បានឈានដល់ទីបញ្ចប់នៃការគាំទ្រ (EOS) គិតត្រឹមថ្ងៃទី 4 ខែធ្នូ ឆ្នាំ 2025។ កំណែចុងក្រោយគឺ 3.6.15។ ជាលទ្ធផល CISA បានជំរុញឱ្យភ្នាក់ងារ Federal Civilian Executive Branch (FCEB) ដែលនៅតែពឹងផ្អែកលើឧបករណ៍នេះ បញ្ឈប់ការប្រើប្រាស់របស់វានៅថ្ងៃទី 7 ខែមករា ឆ្នាំ 2026។

ក្រុមហ៊ុនបាននិយាយនៅក្នុងទំព័រជំនួយមួយថា "ASUS ប្តេជ្ញាចិត្តចំពោះសុវត្ថិភាពកម្មវិធី និងផ្តល់ការអាប់ដេតតាមពេលវេលាជាក់ស្តែងជាប់លាប់ ដើម្បីជួយការពារ និងបង្កើនប្រសិទ្ធភាពឧបករណ៍"។ "ការអាប់ដេតកម្មវិធីដោយស្វ័យប្រវត្តិ និងតាមពេលវេលាជាក់ស្តែង អាចរកបានតាមរយៈកម្មវិធី ASUS Live Update។ សូមអាប់ដេត ASUS Live Update ទៅ V3.6.8 ឬកំណែខ្ពស់ជាងនេះ ដើម្បីដោះស្រាយបញ្ហាសុវត្ថិភាព"។