ASUS изправи сериозна критична уязвимост в своя инструмент за управление на драйвери — DriverHub, която позволява на атакуващи да изпълняват произволни команди на компютри с инсталиран софтуер, само чрез посещение на компрометирана уебстраница.

Уязвимостта беше открита от независимия изследовател по киберсигурност от Нова Зеландия, известен с псевдонима MrBruh, който установил, че услугата на DriverHub, работеща на порт 53000, лошо валидира входящите HTTP заявки и изпълнява команди, идващи от сайтове, които имитират официалния домейн driverhub.asus.com.

Комбинирана експлоатация на CVE-2025-3462 и CVE-2025-3463

Изследователят създава експлоатационна верига, която комбинира две уязвимости:

• CVE-2025-3462 – позволява заобикаляне на произхода чрез спуфинг на HTTP Origin хедъра.

• CVE-2025-3463 – позволява отдалечено изпълнение на код, след като злонамерен сайт изпрати заявка до локалната услуга на DriverHub.

Зловреден сайт може да имитира домейн като driverhub.asus.com.maliciousdomain.com, който преминава неадекватната проверка за произход. След това услугата приема зловредна заявка към локалния порт 53000 и изпълнява предоставените инструкции.

Как протича атаката?

DriverHub има функционалност, наречена UpdateApp, която позволява автоматично изтегляне и стартиране на инсталатори от ASUS-сайтове. При експлоатация на уязвимостта, атакуващият:

1. Изпраща фалшива заявка към локалния сървис чрез подправен уебсайт.

2. Указва на DriverHub да изтегли легитимен ASUS инсталатор (AsusSetup.exe) от официалния сайт, но заедно с .ini конфигурационен файл и злонамерен .exe payload.

3. Инсталаторът стартира тихо с административни права, използвайки инструкциите от .ini файла, който от своя страна стартира злонамерения код.

4. Нещо още по-притеснително – DriverHub не изтрива файловете, които не минават проверка за цифров подпис, което позволява на атаката да остави следи в системата.

Вградена и активна по подразбиране

DriverHub се инсталира автоматично при първо стартиране на системи с определени ASUS дънни платки, като започва да работи във фонов режим и остава активна без знанието на потребителя. Опцията за изключване на DriverHub е налична в BIOS менюто, но е активирана по подразбиране.

Реакцията на ASUS

ASUS е уведомена за уязвимостите на 8 април 2025 г., като публикува корекция на 18 април, потвърдена предварително от изследователя. Въпреки това компанията не е предложила никакво възнаграждение за откритието.

Първоначално ASUS подценява обхвата на уязвимостите в описанията към CVE записите, като твърди, че засягат „само дънни платки, а не лаптопи и настолни компютри“, въпреки че DriverHub може да се инсталира и на други устройства. За щастие, официалният бюлетин на ASUS е по-категоричен, призовавайки всички потребители да актуализират незабавно софтуера:

„Този ъпдейт съдържа важни корекции на сигурността и ASUS силно препоръчва на потребителите да актуализират DriverHub до последната версия чрез бутона „Update Now“ в самото приложение.“

Според MrBruh няма публични доказателства, че уязвимостта е била експлоатирана в реални атаки, но потенциалът ѝ за масова злоупотреба чрез drive-by атаки е сериозен.

Препоръки

Потребителите на ASUS, особено тези със съвместими дънни платки, трябва:

• Да отворят DriverHub и да натиснат „Update Now“.

• Да обмислят деактивиране на DriverHub от BIOS, ако не се използва активно.

• Да избягват посещения на непознати или подозрителни уебсайтове, които биха могли да задействат подобна атака.