حفره امنیتی در نرم‌افزار ASUS! امکان اجرای کد از راه دور (RCE) از طریق فایل‌های .ini و درخواست HTTP

بازدید کند. سپس، با استفاده از اندپوینت مربوط به UpdateApp در DriverHub، نسخه‌ای معتبر از فایل AsusSetup.exe را اجرا کرده که فایل دلخواهی را از دامنه جعلی فراخوانی می‌کند. هنگام اجرای AsusSetup.exe، این فایل محتویات AsusSetup.ini را می‌خواند که شامل متادیتای درایور است.

اگر فایل AsusSetup.exe با فلگ -s (برای نصب بی‌صدا) اجرا شود، هر آنچه در گزینه SilentInstallRun مشخص شده باشد، اجرا می‌کند. در حالت عادی، مقدار این گزینه به یک اسکریپت cmd اشاره دارد که فرآیند نصب درایور را به‌صورت خودکار و بدون رابط کاربری انجام می‌دهد؛ اما این مقدار به‌راحتی می‌تواند به هر فایل دلخواه دیگری تغییر یابد و امکان اجرای کد دلخواه را فراهم کند.

الزامات حمله

برای اجرای این حمله، مهاجم باید:

• یک دامنه جعلی ایجاد کند.
• سه فایل را میزبانی کند:
  • پیلود مخرب (مانند اسکریپت یا فایل اجرایی).
  • نسخه دستکاری‌شده AsusSetup.ini که در بخش SilentInstallRun به پیلود مخرب اشاره دارد.
  • فایل AsusSetup.exe.

سپس DriverHub این فایل‌ها را پردازش کرده و پیلود مخرب مهاجم اجرا می‌شود.

واکنش ASUS

پس از افشای این آسیب‌پذیری‌ها در ۸ آوریل ۲۰۲۵، ASUS آن‌ها را در ۹ می ۲۰۲۵ پچ کرد. این شرکت اعلام کرد هیچ شواهدی از سوءاستفاده فعال در دنیای واقعی وجود ندارد. ASUS تأکید کرد که کاربران باید DriverHub را با اجرای برنامه و کلیک روی دکمه Update Now به آخرین نسخه به‌روزرسانی کنند.

منابع: