CISA Soroti CVE ASUS Live Update, Namun Serangannya Sudah Lama Berakhir

Kerentanan ASUS Live Update yang tercatat sebagai CVE-2025-59374 kembali ramai dibahas di komunitas keamanan siber, memunculkan kesan seolah-olah ada ancaman baru yang sedang berlangsung. Namun, penelusuran lebih dalam menunjukkan bahwa kerentanan ini sebenarnya merujuk pada insiden lama yang terjadi bertahun-tahun lalu, bukan ancaman baru yang perlu ditangani secara mendesak.

Isu ini kembali mencuat setelah CVE tersebut masuk ke dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA. Meski demikian, tidak semua entri KEV menandakan adanya eksploitasi aktif. Dalam kasus ini, CVE-2025-59374 mendokumentasikan serangan rantai pasok ShadowHammer yang terjadi pada 2018–2019, ketika sejumlah kecil perangkat menerima pembaruan ASUS Live Update yang telah dimodifikasi secara berbahaya.

CVE tersebut kini diberi skor kritis 9.3 pada skala CVSS. Dalam deskripsinya, disebutkan bahwa beberapa versi ASUS Live Update didistribusikan dengan modifikasi tidak sah akibat kompromi rantai pasok. Hanya perangkat yang memenuhi kondisi tertentu dan menginstal versi yang terpengaruh yang terdampak. Perangkat yang masih didukung saat ini tidak lagi terpengaruh karena ASUS Live Update telah mencapai End-of-Support (EOS) pada Oktober 2021.

Fakta bahwa CVE ini diberi label unsupported when assigned menunjukkan bahwa kerentanan tersebut memang berasal dari produk yang sudah tidak didukung. Menariknya, dokumen vendor yang dirujuk dalam entri CVE berasal dari 2019, lengkap dengan tautan FAQ yang juga sudah ada sejak tahun tersebut. Halaman FAQ itu sendiri baru diperbarui pada Desember 2025, namun pembaruan tersebut tidak menandakan adanya risiko baru—melainkan hanya revisi dokumentasi.

Halaman FAQ tersebut tetap menampilkan panduan mitigasi lama dengan tangkapan layar bertanggal 2019, memperkuat indikasi bahwa pembaruan terbaru hanya bersifat administratif. ASUS tidak memberikan komentar tambahan ketika dimintai klarifikasi mengenai penugasan CVE ini.

CISA juga tidak memberikan penjelasan lebih lanjut, hanya mengutip ketentuan dalam Binding Operational Directive 22-01 yang menyatakan bahwa penambahan ke katalog KEV tidak selalu berarti ada eksploitasi aktif. Kerentanan lama tetap dapat dimasukkan jika ada pelaporan akurat mengenai eksploitasi, meskipun kejadian tersebut sudah berlalu.

Bagi pengguna, rekomendasinya tetap sama: pastikan menggunakan versi terbaru dari perangkat lunak. Meski entri CVE menyebut EOS terjadi pada 2021, FAQ terbaru ASUS menyatakan bahwa dukungan resmi berakhir pada 4 Desember 2025, dengan versi terakhir 3.6.15. Versi ini sendiri sudah tersedia sejak setidaknya Maret 2024, sehingga tidak ada urgensi baru untuk melakukan pembaruan.

Kesimpulannya, CVE-2025-59374 adalah dokumentasi formal atas serangan historis yang sudah lama diketahui. Pembaruan FAQ, panduan mitigasi lama, serta konteks dari CISA menunjukkan bahwa tidak ada ancaman baru yang muncul. Tim keamanan perlu berhati-hati dalam menafsirkan entri KEV, terutama ketika menyangkut perangkat lunak yang sudah tidak didukung atau insiden yang telah lama diselesaikan.