CISA incorpora vulnerabilidad crítica en ASUS Live Update a su catálogo KEV por explotación activa

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en el servicio ASUS Live Update a su catálogo de Known Exploited Vulnerabilities (KEV), tras confirmar explotación activa en entornos reales. La inclusión en esta lista eleva el nivel de urgencia para su mitigación, especialmente en sistemas empresariales.

La falla afecta a equipos Windows que mantienen activo el servicio de actualización de ASUS, ampliamente instalado tanto en entornos corporativos como en equipos de alto rendimiento y gaming.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad está identificada como CVE-2024-4068, con una puntuación CVSS de 7.8, y reside en el componente ASUS Live Update Utility. El fallo permite ejecución remota de código (RCE) sin autenticación, mediante el envío de solicitudes POST maliciosas a puertos expuestos por el servicio, comúnmente 18000 y 26000.

Investigadores de Kaspersky detectaron actividad de explotación desde junio de 2024, observando campañas que utilizan este vector para desplegar loaders y malware avanzado, entre ellos MgBot, GooseEgg y PlugX. El patrón de ataque y la infraestructura utilizada apuntan a actores de amenaza vinculados a China, con un claro enfoque en espionaje y persistencia a largo plazo.

Explotación activa y vectores de ataque

CISA confirmó que la vulnerabilidad ha sido explotada in-the-wild al menos desde julio de 2024, lo que motivó su incorporación al catálogo KEV, una lista reservada para fallas con impacto real y explotación confirmada.

El vector de ataque aprovecha que ASUS Live Update se instala y ejecuta por defecto en muchos sistemas ASUS. Los atacantes realizan:

• Escaneo automatizado de puertos expuestos

• Identificación de servicios ASUS activos

• Envío de payloads ofuscados vía solicitudes POST

• Ejecución de código con privilegios elevados

Las versiones vulnerables incluyen todas hasta la 3.6.0.414, mientras que ASUS ha liberado parches a partir de la versión 3.6.0.425, recomendada como mínimo seguro.

Impacto para organizaciones y usuarios técnicos

El impacto es especialmente relevante para:

• Entornos empresariales con estaciones de trabajo ASUS

• Equipos de desarrollo y estaciones de alto rendimiento

• Usuarios gamers o power users con software de sistema desactualizado

La explotación exitosa permite a los atacantes establecer persistencia, desplegar malware adicional y potencialmente facilitar movimientos laterales dentro de redes corporativas, convirtiendo un endpoint aparentemente benigno en un punto de entrada crítico.

Recomendaciones de mitigación

CISA y los analistas de seguridad recomiendan acciones inmediatas:

• Actualizar ASUS Live Update a la versión 3.6.0.425 o superior

• Deshabilitar el servicio si no es estrictamente necesario

• Monitorear logs y tráfico entrante hacia los puertos 18000 y 26000

• Realizar escaneos de vulnerabilidades internos para identificar instancias expuestas

• Tratar utilidades de OEM como software de alto riesgo, incluyéndolas en inventarios y políticas de hardening

La inclusión de esta falla en el catálogo KEV subraya un problema recurrente: los servicios de actualización de fabricantes siguen siendo un vector atractivo para actores APT, especialmente cuando operan con privilegios elevados y poca visibilidad para los equipos de TI.