ASUS Live Update’da aniqlangan zararli kod CISA’ning KEV ro‘yxatiga kiritildi

Kiberxavfsizlik sohasida navbatdagi jiddiy ogohlantirish e’lon qilindi. AQShning Cybersecurity and Infrastructure Security Agency (CISA) tashkiloti ASUS Live Update dasturiga oid xavfli zaiflikni o‘zining Known Exploited Vulnerabilities (KEV) — ya’ni faol ekspluatatsiya qilinayotgan zaifliklar katalogiga qo‘shdi. Bu esa mazkur muammo real hujumlarda allaqachon qo‘llanilayotganini anglatadi.

Zaiflik mohiyati: ishonchli yangilash mexanizmi qurolga aylantirildi

Mazkur zaiflik CVE-2025-59374 identifikatori bilan qayd etilgan bo‘lib, ASUS Live Update utilitasiga ta’sir ko‘rsatadi. Ushbu dastur odatda firmware va drayverlarni avtomatik yangilash uchun ishlatiladi va foydalanuvchilar unga yuqori darajada ishonishadi.

Ammo hujumchilar aynan shu ishonchdan foydalangan. Tekshiruvlarga ko‘ra, ta’minot zanjiri (supply chain) hujumi orqali ASUS Live Update’ning ayrim versiyalariga yashirin zararli kod joylashtirilgan. Natijada:

  • yangilanish rasmiy va ishonchli ko‘rinsa-da,
  • qurilma ichida kutilmagan va foydalanuvchiga noma’lum amallar bajarilishi mumkin,
  • zararli dastur yuklanishi yoki keyingi hujumlar uchun “eshik” ochilishi ehtimoli mavjud.

Nega bu zaiflik ayniqsa xavfli?

Bu holat CWE-506 — Embedded Malicious Code toifasiga kiradi. Ya’ni zararli kod oddiy virus kabi tashqi fayl sifatida emas, balki rasmiy dastur ichiga yashirilgan bo‘ladi. Bu esa bir necha xavfli oqibatlarga olib keladi:

  • antivirus va EDR tizimlari uni legitim yangilanish deb qabul qilishi mumkin;
  • hujum katta miqyosda, minglab qurilmalarga bir vaqtning o‘zida tarqaladi;
  • hujumchilar qurilmalarni aniq nishonlar asosida tanlab faollashtirishi ehtimoli mavjud.

CISA ma’lumotiga ko‘ra, zararli kodning aniq qanday shartlarda ishga tushishi ochiqlanmagan, biroq bu maqsadli va murakkab hujum kampaniyasi bo‘lishi mumkinligini ko‘rsatadi.

Qo‘shimcha xavf: mahsulotning EoL / EoS holati

Vaziyatni yanada murakkablashtiradigan jihat shundaki, ASUS Live Update’ning ta’sirlangan versiyalari End-of-Life (EoL) yoki End-of-Service (EoS) holatida bo‘lishi mumkin. Bu esa:

  • xavfsizlik yangilanishlari endi chiqarilmasligi,
  • rasmiy texnik qo‘llab-quvvatlash yo‘qligi,
  • zaiflikni yopish imkoniyatining cheklanganini anglatadi.

Shu sababli CISA, agar samarali mitigatsiya mavjud bo‘lmasa, ushbu mahsulotdan butunlay voz kechishni tavsiya qilmoqda.

Amaliy tavsiyalar: hozir nima qilish kerak?

CISA AQSh federal idoralariga 2026-yil 7-yanvargacha quyidagi choralarni ko‘rishni majburiy etib belgiladi va qolgan barcha tashkilotlarga ham shuni qat’iy tavsiya qilmoqda:

  1. ASUS Live Update mavjudligini aniqlash – barcha ishchi stansiyalar va noutbuklarni tekshirish.
  2. Agar imkon bo‘lsa, ishlab chiqaruvchi tomonidan berilgan rasmiy choralarni qo‘llash.
  3. Agar yangilash yoki himoyalash imkoni bo‘lmasa, dasturdan to‘liq voz kechish yoki uni muqobil yechim bilan almashtirish.
  4. Tarmoqda noodatiy xatti-harakatlar (kutilmagan ulanishlar, noma’lum jarayonlar) bo‘yicha monitoringni kuchaytirish.

ASUS Live Update bilan bog‘liq ushbu holat yana bir bor shuni ko‘rsatadiki, eng ishonchli deb hisoblangan mexanizmlar — yangilash tizimlari ham hujumchilar uchun nishon bo‘lishi mumkin. Ta’minot zanjiri hujumlari zamonaviy kiberxavflarning eng murakkab va eng xavfli turlaridan biri bo‘lib qolmoqda.

Shu bois, tashkilotlar nafaqat tashqi tahdidlarga, balki ishonchli dasturiy ta’minot ichidan kelishi mumkin bo‘lgan xavflarga ham tayyor bo‘lishi zarur. Kiberxavfsizlikda bugun eng muhim savol shunchaki “yangiladimmi?” emas, balki “nimani yangiladim va unga qanchalik ishonaman?” degan savolga aylanmoqda.