Компания Asus выпустила патчи, исправляющие две уязвимости в Asus DriverHub. В случае успешной эксплуатации эти проблемы позволяли добиться удаленного выполнения произвольного кода.
DriverHub представляет собой инструмент, который работает в фоновом режиме, взаимодействуя с сайтом на driverhub.asus.com. Он призван уведомлять пользователей о драйверах, которые следует установить или обновить. Инструмент использует протокол RPC и хостит локальную службу, с которой сайт может взаимодействовать через запросы API.
Независимый исследователь из Новой Зеландии, известный под ником MrBruh, обнаружил сразу две уязвимости в DriverHub, которые можно использовать для удаленного выполнения произвольного кода.
CVE-2025-3462 (8,4 балла по шкале CVSS) — уязвимость, связанная с ошибкой валидации источника, которая позволяет неавторизованным источникам взаимодействовать с функциями ПО через поддельные HTTP-запросы.
CVE-2025-3463 (9,4 балла по шкале CVSS) — уязвимость, связанная с некорректной проверкой сертификатов, которая позволяет неавторизованным источникам влиять на поведение системы с помощью поддельных HTTP-запросов.
По словам MrBruh, эти баги позволяют выполнить произвольный код, в рамках несложной one-click атаки. Так, сначала злоумышленник должен обманом вынудить пользователя посетить поддомен driverhub.asus[.]com (например, driverhub.asus.com.<что-то>.com). Затем нужно использовать эндпоинт DriverHub UpdateApp для выполнения легитимной версии бинарного файла AsusSetup.exe с опцией запуска любого файла, размещенного на фальшивом домене.
«При запуске AsusSetup.exe он сначала считывает файл AsusSetup.ini, содержащий метаданные о драйвере, — объясняет исследователь. — Если запустить AsusSetup.exe с флагом -s, он выполнит все, что указано в SilentInstallRun. В данном случае в ini-файле указан CMD-скрипт, выполняющий автоматическую headless-установку драйвера, но таким способом можно запустить что угодно».
Фактически для успешной реализации эксплоита злоумышленнику достаточно создать домен и разместить на нем три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, где SilentInstallRun указывает на вредоносный бинарник, а также AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
После того как исследователь уведомил компанию об уязвимостях 8 апреля 2025 года, обе проблемы были исправлены разработчиками Asus 9 мая. В компании отметили, что не обнаружили никаких свидетельств использования этих уязвимостей в реальных атаках.
«Я поинтересовался у Asus, предлагают ли они вознаграждение за обнаружение ошибок. Они ответили, что нет, и вместо этого они внесут мое имя в зал славы», — пишет MrBruh.
