核心威脅摘要與 CISA 緊急宣告

在全球軟體定義基礎設施的環境下，供應鏈安全已成為資安防護中最脆弱的一環。美國網路安全機構CISA週三警告稱，駭客一直在利用現已停用的華碩Live Update實用程式中的一個嚴重漏洞。被利用的漏洞被追蹤為 CVE-2025-59374（CVSS 評分為 9.3），並被描述為「嵌入式惡意程式碼漏洞」。CISA 指出，後門是在供應鏈遭到入侵後引入的，如果滿足某些條件，受影響的設備可能會被濫用以執行非預期操作。作為攻擊的一部分，駭客組織向華碩 Live Update 注入了一個後門程式。 ASUS Live Update 是大多數華碩裝置預先安裝的實用程序，用於自動更新 BIOS、UEFI、驅動程式和其他元件。

供應鏈滲透手法與攻擊目標精準化分析

此次攻擊顯示了威脅行為者高度的策略性與針對性。雖然可能有超過 100 萬華碩用戶下載了這款帶有後門的實用程序，但據報道，駭客們只對大約 600 台特定設備感興趣，這些設備是根據該工具各個版本中硬編碼的哈希 MAC 地址確定的。這種「大海撈針」式的精準攻擊（Targeted Attack）顯示，攻擊者並非旨在造成大規模的隨機破壞，而是針對特定高價值目標進行長期的間諜活動或數據竊取。透過竄改官方合法的更新工具，駭客成功規避了傳統特徵碼偵測，在受信任的軟體傳遞管道中埋下隱患。

時間線回溯與廠商應對現狀

該攻擊於 2019 年 1 月被發現，華碩於同年 3 月發布了補丁。儘管漏洞發現至今已有一段時間，但其遺留風險（Legacy Risk）依然存在於尚未汰換或更新的舊系統中。華碩本月初宣布停止對華碩Live Update應用程式的支援，最後一個華碩Live Update版本是3.6.15。不過，該公司表示將繼續透過該實用程式提供軟體更新，並敦促用戶更新至 3.6.8 或更高版本以解決安全缺陷。這一舉措旨在確保即使在應用程式停止支援後，既有用戶仍能獲得最低限度的安全性保障。

聯邦機構強制要求與 KEV 目錄合規

由於該漏洞的實際利用證據確鑿，監管機構提升了應對等級。週三，CISA 將 CVE-2025-59374 添加到其已知利用漏洞 ( KEV ) 目錄中，警告華碩 Live Update 存在後門，並敦促聯邦機構停止使用該實用程式。根據具有約束力的操作指令 (BOD) 22-01，聯邦機構有三週時間來識別其環境中易受攻擊產品並解決該問題。這不僅是針對公部門的行政命令，對於台灣應用軟體開發商與企業採購部門而言，也是一個關鍵的風險指標：凡是被列入 KEV 目錄的漏洞，皆應被視為具備「即時且致命」威脅的對象。

企業內部軟體生命週期管理建議

面對此類嵌入式惡意程式碼漏洞，單純的防火牆防護已不足夠。企業應採取以下深度防禦措施：

• 盤點受影響資產：清查所有工作站中是否仍存在華碩 Live Update 舊版實用程式，特別是已過保固但仍在運行的老舊伺服器或終端。

• 執行版本強制升級或移除：依據廠商建議，至少將版本提升至 3.6.8 以上，或在已有替代更新機制（如 Windows Update 或企業內部部署伺服器）的情況下移除該工具。

• 行為分析監控：加強對更新工具（如 updater.exe）網路流量的監控，偵測是否存在與非常規外部伺服器進行異常數據傳輸的行為。

• 驗證更新來源：在執行 BIOS 或驅動程式更新前，應手動從官方網站比對校驗碼（Hash Values），而非盲目依賴自動化工具。

供應鏈防護啟示

CVE-2025-59374 的案例再次印證，信任不應是盲目的。即使是預裝在硬體中的官方實用工具，也可能成為駭客入侵的橋頭堡。台灣企業在引進應用軟體時，應落實軟體組成分析（SCA）與開發安全生命週期（SDL），並針對關鍵管理工具建立定期審計機制。唯有透過更嚴謹的零信任架構（Zero Trust Architecture），將防禦層級下探至固件與預裝軟體層，才能有效阻絕此類高隱蔽性的供應鏈攻擊。