美国网络安全和基础设施安全局（CISA）本周警告，华硕已停产的实时更新工具（Asus Live Update）存在一个严重漏洞，已被黑客利用。

CISA本周将漏洞编号CVE-2025-59374列入“已知被利用漏洞”目录，并警告联邦政府机构加强安全防护。

该漏洞为Asus Live Update工具中的嵌入式恶意代码漏洞，CVSS评分为9.3。CISA指出，该工具客户端曾遭到供应链攻击，被非法篡改。被篡改的软件可能导致满足特定条件的设备执行非预期行为。CISA敦促所有联邦行政部门必须在2026年1月7日前修复或停用受影响软件。

CVE-2025-59374曾在2019年被卡巴斯基研究人员发现，当时被用于名为“Operation ShadowHammer”的攻击活动，时间范围为2018年6月至11月，推测由中国黑客组织实施，利用该漏洞分发后门程序。华硕已于2018年3月发布修复版本。

目前尚不清楚本轮攻击的来源，但CISA的安全公告明确指出，此次事件并非勒索软件攻击。

根据美国NIST漏洞数据库，Asus Live Update客户端软件已于2021年10月终止服务，较新的硬件设备不受影响。

华硕在原定2021年10月的服务终止时间后仍继续提供支持，但该公司于本月4日发布公告，正式停止对Asus Live Update的支持，最后一个版本为3.6.15。

根据华硕说明，现有Asus Live Update用户仍可继续使用该服务，不会受到任何影响。

华硕承诺将持续提供实时更新，帮助用户保障和增强设备安全。用户可通过Asus Live Update软件获取自动、及时的软件更新。华硕呼吁用户将Asus Live Update升级至3.6.8或更高版本。