ASUS Live Update yazılımında tespit edilen CVE-2025-59374 açığı, bilgi güvenliği topluluklarında tartışmalara yol açıyor. Bazı başlıklar, bu açığın aktif bir şekilde istismar edildiğine dair ipuçları sunuyor. Ancak, gerçekler biraz daha karmaşık.
CVE-2025-59374: Eski Bir Tehdit mi, Yoksa Yeni Bir Risk mi?
Güncel haberlerde CVE-2025-59374’ün, CISA’nın Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna eklenmesiyle birlikte yeni bir güvenlik riski olarak sunulması dikkat çekiyor. Fakat yukarıdaki bakış açısı, durumu tam olarak yansıtmıyor.
CVE, 2018-2019 yıllarında yaşanan “ShadowHammer” tedarik zinciri saldırısını dokumente ediyor. Bu saldırıda, kötü niyetli olarak değiştirilmiş ASUS Live Update ikili dosyaları, hedeflenen birkaç sisteme ulaştırılmıştır. Zafiyet, End-of-Life (EoL) bir yazılım ürünü ile ilgili olduğu için, aslında yeni bir tehditten çok geçmişte kalmış bir duruma işaret ediyor.
CVE Değerlendirmesi ve Etkisi
CVE’nin giriş kaydında, bu güvenlik açığının 9.3 (Kritik) olarak derecelendirildiği belirtiliyor. Ancak, yazılımın destek süresi 2021 yılında sona erdiği için, bu açıkla etkilenen hiçbir güncel cihaz mevcut değildir. Ayrıca, zafiyetin detayları, yalnızca belirli koşulları karşılayan ve değiştirilmiş sürümleri yükleyen cihazların etkileneceğini gösteriyor.
CVE’nin başvuru kaydındaki “UNSUPPORTED WHEN ASSIGNED” notu, açıkların, EoL ürünleri için kaydedildiğini gösteriyor. Tedarikçi tarafından yapılan 2019 tarihli uyarı, bu durumu daha da netleştiriyor.
CISA’yla İletişim ve Referanslar
BleepingComputer, ASUS ile iletişime geçerek CVE’nin KEV kataloğuna eklenme sebebini öğrenmeye çalıştı, ancak yanıt alamadı. CISA, daha fazla yorum yapmayı reddetti ve yalnızca “Binding Operational Directive 22-01” üzerinden açıklama yapıldığını belirtti. Burada dikkat çeken nokta, bir zafiyetin KEV kataloğuna eklenmesinin mevcut bir istismar durumunu yansıtmadığıdır.
Yani, bu gibi eski zafiyetler CISA tarafından yeni bir risk olarak değerlendirilmemektedir. Bunun yerine, CISA’nın geçmişteki tanınmış saldırıları belgelemek amacıyla yapılan bir sınıflandırma çabası olduğu ortaya çıkıyor.
Kullanıcılar İçin Pratik Tavsiyeler
Kullanıcıların dikkat etmesi gereken en önemli nokta, yazılımın güncellenmiş en son versiyonunu kullanıp kullanmadıklarıdır. ASUS Live Update, Ekim 2021’de destek süresi sona ermiştir. CISA’nın güncellemeleri, kullanıcıları bilgilendirmek amaçlı şekillendirilmiştir, ama bu, yeni bir tehlikeye maruz kaldıkları anlamına gelmez. Fiili olarak, CVE-2025-59374, daha önce belgelenmiş bir saldırıyı formalize eder.
Sonuç itibarıyla, güvenlik ekipleri, CISA ile bağlantılı CVE’leri acil durumlar olarak değerlendirmek konusunda dikkatli olmalıdır. Özellikle, emekliye ayrılmış yazılımlar veya uzun zamandır çözüme kavuşmuş olaylarla ilgiliyken temkinli olmakta fayda vardır.
