ASUS Patches DriverHub RCE Flaws Exploitable via HTTP and Crafted .ini Files
2025/05/12 TheHackerNews — ASUS が公表したのは、ASUS DriverHub に存在する2つの脆弱性を修正する、アップデートのリリースである。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行の可能性を手にする。DriverHub とは、”driverhub.asus[.]com” でホストされている専用サイトと通信することで、コンピューターのマザーボード・モデルを自動的に検出し、その後のインストールに必要なドライバー・アップデートを表示するツールである。
このソフトウェアで確認された脆弱性は、以下の通りである:
CVE-2025-3462 (CVSS:8.4): オリジン検証エラーの脆弱性。細工された HTTP リクエストを介して、権限のないソースが、ソフトウェア機能へのアクセスを引き起こす可能性が生じる。
CVE-2025-3463 (CVSS:9.4):不適切な証明書検証の脆弱性。細工された HTTP リクエストを介して、信頼できないソースが、システムの動作に影響を及ぼす可能性が生じる。
この2つの脆弱性を発見/報告したセキュリティ研究者の MrBruh は、これらの脆弱性を悪用されると、ワンクリック攻撃の一環として、リモート・コード実行の可能性が生じると述べている。
この攻撃チェーンは、基本的に情報を持たないユーザーを、”driverhub.asus[.]com” のサブドメインである、”driverhub.asus.com.<ランダム文字列>.com” などへと誘導するところから始まる。続いて、DriverHub の UpdateApp エンドポイントを悪用して、偽のドメインでホストされている、任意のファイルを実行するオプションが設定された、”AsusSetup.exe” バイナリの正規版を実行する。
この研究者は技術レポートで、「AsusSetup.exe を実行すると、まず、ドライバーに関するメタデータを取り込んだ AsusSetup.ini が読み込まれる。AsusSetup.exe を “-s” フラグ付きで実行すると、DriverHub によるサイレント・インストールが呼び出され、SilentInstallRunで指定された内容が実行される。この場合において、”ini” ファイルはドライバーの自動ヘッドレス・インストールを実行するコマンド・スクリプトを指定しているが、実際には何でも実行できるはずだ」と述べている。
このエクスプロイトを成功させる、攻撃者としての条件だが、ドメインを作成して3つのファイルをホストするだけで済む。それらのファイルは、実行形式の悪意のペイロード/悪意のバイナリに “SilentInstallRun” プロパティを設定した “AsusSetup.ini” の改変版/このプロパティを悪用してペイロードを実行する “AsusSetup.exe” である。
2025年4月8日の時点で、この研究者から適切な情報開示を受けた ASUS は、5月9日の時点で、一連の問題を修正した。なお、現時点では、これらの脆弱性が実際に悪用されたという証拠はないという。
同社のセキュリティ情報は、「このアップデートには、重要なセキュリティ・アップデートが取り込まれている。ASUS はユーザーに対して、ASUS DriverHub の最新バージョンへと、速やかにアップデートすることを強く推奨する」と述べている。
なお、この最新のソフトウェア・アップデートには、ASUS DriverHub を開き、”Update Now” ボタンのクリックでアクセスできる。
ASUS DriverHub の RCE 脆弱性 CVE-2025-3462/CVE-2025-3463 が FIX しました。いずれも CVSS 値が 8.0 以上の深刻な脆弱性です。ご利用のチームは、アップデートをお急ぎください。よろしければ、ASUS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.