Netcrook Logo
👤 SECPULSE
🗓️ 22 Dec 2025   🌍 Asia

ShadowHammer revisité : pourquoi l’alerte de la CISA sur ASUS Live Update n’est pas la crise cyber qu’elle semble être

Sous-titre : Une vulnérabilité critique refait surface dans l’actualité, mais la véritable menace a expiré il y a des années.

Lorsque l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a récemment signalé une vulnérabilité critique dans ASUS Live Update, les flux d’actualités en cybersécurité se sont enflammés d’avertissements. Mais s’agit-il vraiment du prochain grand effondrement de la chaîne d’approvisionnement, ou d’un fantôme du passé de l’infosec ? En creusant sous les gros titres, une histoire bien moins dramatique - mais plus instructive - se dessine : toutes les alertes de la CISA ne sont pas des urgences cyber, et parfois, de vieilles blessures sont simplement re-documentées, non rouvertes.

La saga ASUS Live Update a commencé en 2019, lorsque des chercheurs ont découvert « ShadowHammer » - une attaque sophistiquée sur la chaîne d’approvisionnement, où des binaires de mise à jour ASUS modifiés de façon malveillante étaient distribués discrètement à des cibles sélectionnées. La brèche, bien qu’alarmante, était très ciblée, et ASUS a rapidement publié des correctifs et des avis. En octobre 2021, le logiciel concerné a atteint sa fin de support officielle, et aucun appareil ASUS actuel n’est resté vulnérable.

Avance rapide jusqu’en 2025, et le CVE-2025-59374 apparaît, avec un score critique CVSS de 9,3. Son entrée dans le catalogue KEV de la CISA - une liste scrutée de près par les équipes de sécurité - a déclenché une vague d’articles de blog et de discussions sur les réseaux sociaux alertant d’une nouvelle menace. Mais la réalité est bien plus banale. Le texte même du CVE, « UNSUPPORTED WHEN ASSIGNED », indique qu’il documente un incident historique sur un produit désormais retiré. Le principal avis ASUS lié au CVE date de 2019, et même la FAQ d’ASUS, mise à jour ce mois-ci, affiche encore des captures d’écran et des conseils issus de la première alerte.

Pourquoi alors ce regain d’attention ? La politique de la CISA est d’inclure dans son catalogue KEV toute vulnérabilité ayant fait l’objet d’une exploitation crédible - quel que soit son âge. Cela ne signifie pas que des attaques sont en cours, mais simplement que l’incident est désormais formellement enregistré. Les mises à jour de la FAQ d’ASUS semblent être de la documentation de routine, et non une réponse à de nouvelles découvertes. La dernière version mentionnée, 3.6.15, était déjà disponible en mars 2024, et les recommandations de mise à jour n’ont pas changé depuis des années.

Pour les équipes de sécurité, cet épisode rappelle que toutes les CVE liées à la CISA ne signalent pas une crise actuelle. Traiter les vulnérabilités historiques dans des logiciels en fin de vie avec la même urgence que les menaces zero-day peut gaspiller des ressources et semer la confusion. Il vaut mieux se concentrer sur les produits maintenus et les risques en temps réel - et non sur les fantômes du passé de la chaîne d’approvisionnement.

Alors que le monde de la cybersécurité passe d’une alerte à l’autre, il est utile de s’arrêter et de se demander : s’agit-il d’un danger clair et actuel, ou simplement d’une note de bas de page tardive dans l’histoire du hacking ? Dans le cas d’ASUS Live Update, la véritable histoire date déjà de plusieurs années - et la solution, elle aussi.

WIKICROOK

  • Supply : Une attaque sur la chaîne d’approvisionnement cible des fournisseurs ou services tiers afin de compromettre plusieurs organisations en exploitant des relations de confiance externes.
  • End : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées même pour les fournisseurs de services et les pirates.
  • CVE (Common Vulnerabilities and Exposures) : Un CVE est un identifiant public unique pour une vulnérabilité de sécurité spécifique, permettant un suivi et une discussion cohérents dans l’industrie de la cybersécurité.
  • Catalogue KEV : Le catalogue KEV est une liste, maintenue par la CISA, des vulnérabilités logicielles actuellement exploitées par des pirates, aidant les organisations à traiter les menaces de sécurité urgentes.
  • CVSS (Common Vulnerability Scoring System) : Le CVSS est un système standardisé pour évaluer la gravité des vulnérabilités de sécurité, attribuant des scores de 0 (faible) à 10 (critique) pour guider les priorités de réponse.
CISA alert ASUS vulnerability ShadowHammer attack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news