Kritická zraniteľnosť v nástroji pre manažment ovládačov ASUS DriverHub

Spoločnosť ASUS vydala bezpečnostné aktualizácie svojho nástroja pre manažment ovládačov ASUS DriverHub, ktoré opravujú dve zraniteľnosti, z čoho jedna je označená ako kritická. Vzdialený neautentifikovaný útočník by zreťazením zraniteľností s identifikátormi CVE-2025-3462 a CVE-2025-3463 mohol vzdialene vykonať škodlivý kód a spôsobiť úplné narušenie dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

  • ASUS DriverHub vo verziách starších ako 1.0.6.0

Pozn.: Aplikácia slúži na kontrolu dostupnosti nových aktualizácií, je automaticky inštalovaná pri bootovaní zariadení so špecifickými základnými doskami od spoločnosti ASUS a beží na lokálnom porte 53000.

Opis zraniteľnosti:

CVE-2025-3463  (CVSS 3.1 skóre: 9,4), CVE-2025-3462 (CVSS 3.1 skóre: 8,4)

Bezpečnostné zraniteľnosti spočívajú v nedostatočnom overovaní certifikátov a pôvodu. Vzdialený neautentifikovaný útočník by ich zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na interakciu s internými funkcionalitami softvéru a vykonanie zmien na zraniteľnom systéme.

Zreťazením uvedených zraniteľností možno vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad systémom. Úspešné zneužitie vyžaduje interakciu zo strany obete, ktorá musí navštíviť špeciálne vytvorenú webovú stránku na doméne v tvare driverhub.asus.com.<ĽUBOVOĽNÝ TEXT>.com. DriverHub následne zavolá nástroj AsusSetup.exe s flagom -s pre tichú inštaláciu. V takomto prípade nástroj spustí súbor uvedený v parametri SilentInstallRun v súbore AsusSetup.ini. Útočník môže podvrhnúť súbor AsusSetup.ini, ktorý presmeruje inštalátor na škodlivý súbor, ktorý útočník zadá v danom parametri.

Možné škody:

  • Vzdialené vykonanie kódu
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu ASUS DriverHub na verziu 1.0.6.0.

Zdroje: