CISA достала пыльный CVE

Инфосек-лента в очередной раз поймала флешбек: CISA торжественно закинула в KEV-каталог CVE-2025-59374, и заголовки понеслись так, будто ASUS снова горит, сервера падают, а supply chain трещит по швам. На деле — никакого «срочного апокалипсиса», а хорошо знакомый труп, аккуратно эксгумированный ради галочки.

Речь идёт про ASUS Live Update и легендарную историю под названием ShadowHammer — supply-chain атаку 2018–2019 годов, когда злоумышленники подменяли официальные обновления ASUS и точечно раздавали трояны выбранным жертвам. Тогда это было красиво, больно и показательно. Сейчас — просто архивная классика.

CVE-2025-59374 с CVSS 9.3 выглядит грозно, но если читать не только цифры, а текст, становится ясно: уязвимость задокументирована для End-of-Life продукта, который официально не поддерживается и не используется в актуальных системах. В CVE прямым текстом написано: «UNSUPPORTED WHEN ASSIGNED». Это уже не красный флаг, а надгробная плита.

ShadowHammer был аккуратной операцией: заражённые бинарники ASUS Live Update подписывались валидным сертификатом и доставлялись только тем устройствам, которые совпадали по заранее заданным MAC-адресам. Массового заражения не было, шума тоже — чистый APT-стайл. Всё это ASUS признала ещё в 2019 году, выпустила апдейты и закрыла лавочку.

Теперь же CISA добавляет этот CVE в KEV, и у части сообщества начинается паника: «активная эксплуатация», «новая угроза», «срочно проверяйте». Но сама CISA заранее подстелила соломку: попадание в KEV не означает, что атака идёт прямо сейчас. Иногда это просто ретроспективная фиксация факта — мол, да, это реально эксплуатировали, пусть будет в каталоге.

Отдельного веселья добавляет ASUS FAQ. Страница обновлена в декабре 2025 года, из-за чего создаётся ощущение, будто проблему только что обнаружили. Но если покопаться в веб-архивах, выясняется: это та же самая страница, что и в 2019-м, просто слегка отредактированная. Скриншоты с датами шестилетней давности, старые инструкции и советы «обновитесь до версии 3.6.8» — всё на месте.

При этом ASUS теперь пишет, что Live Update окончательно похоронили 4 декабря 2025 года, а последняя версия — 3.6.15. Забавно, что эта версия существует минимум с начала 2024 года, так что никакого «срочного апдейта» тоже нет. Просто финальная точка в истории утилиты, которая давно никому не нужна.

Если собрать все факты вместе, картина простая: CVE-2025-59374 — это не новая атака, не свежий zero-day и не повод срочно дергать SOC в три часа ночи. Это аккуратная бюрократическая формализация старого, хорошо изученного инцидента, который давно разобрали по косточкам на конференциях и в отчётах.

Мораль тут тоже не новая. KEV — полезный инструмент, но не каждый CVE в нём означает «всё пропало». Особенно если речь идёт о софте, который уже официально лежит на кладбище. Прежде чем поднимать тревогу, стоит читать не только заголовки, но и мелкий шрифт.

ShadowHammer остался в истории как пример того, насколько опасным может быть supply-chain. Но в 2025 году он — не активная угроза, а учебник. Просто CISA решила напомнить, что такие штуки вообще бывают.