Компанія Asus випустила патчі, що виправляють дві вразливості в Asus DriverHub. У разі успішної експлуатації ці проблеми давали змогу домогтися віддаленого виконання довільного коду.

DriverHub являє собою інструмент, який працює у фоновому режимі, взаємодіючи з сайтом на driverhub.asus.com. Він покликаний повідомляти користувачів про драйвери, які слід встановити або оновити. Інструмент використовує протокол RPC і хостить локальну службу, з якою сайт може взаємодіяти через запити API.

Незалежний дослідник із Нової Зеландії, відомий під ніком MrBruh, виявив одразу дві вразливості в DriverHub, які можна використовувати для віддаленого виконання довільного коду.

CVE-2025-3462 (8,4 бала за шкалою CVSS) – уразливість, пов’язана з помилкою валідації джерела, яка дає змогу неавторизованим джерелам взаємодіяти з функціями ПЗ через підроблені HTTP-запити.

CVE-2025-3463 (9,4 бала за шкалою CVSS) – уразливість, пов’язана з некоректною перевіркою сертифікатів, яка дозволяє неавторизованим джерелам впливати на поведінку системи за допомогою підроблених HTTP-запитів.

“Під час запуску AsusSetup.exe він спочатку зчитує файл AsusSetup.ini, що містить метадані про драйвер, – пояснює дослідник. – Якщо запустити AsusSetup.exe з прапором -s, він виконає все, що зазначено в SilentInstallRun. У цьому разі в ini-файлі вказано CMD-скрипт, що виконує автоматичне headless-встановлення драйвера, але в такий спосіб можна запустити що завгодно”.

Після того як дослідник повідомив компанію про вразливості 8 квітня 2025 року, обидві проблеми були виправлені розробниками Asus 9 травня. У компанії зазначили, що не виявили жодних свідчень використання цих вразливостей у реальних атаках.

“Я поцікавився в Asus, чи пропонують вони винагороду за виявлення помилок. Вони відповіли, що ні, і натомість вони внесуть моє ім’я в зал слави”, – пише MrBruh.