Lỗ hổng này được phát hiện bởi một nhà nghiên cứu an ninh mạng độc lập đến từ New Zealand tên là Paul (hay còn gọi là “MrBruh”), người phát hiện ra rằng phần mềm có khả năng xác thực kém các lệnh được gửi đến dịch vụ DriverHub background.
Điều này cho phép nhà nghiên cứu tạo ra chuỗi khai thác sử dụng các lỗ hổng được theo dõi là CVE-2025-3462 và CVE-2025-3463, khi kết hợp lại, có thể dẫn đến kích hoạt thực thi mã từ xa trên máy tính mục tiêu.
Vấn đề của DriverHub
DriverHub là công cụ quản lý trình điều khiển của ASUS, được cài đặt tự động khi khởi động hệ thống lần đầu tiên khi sử dụng một số bo mạch chủ ASUS nhất định. Phần mềm này chạy ở chế độ background, tự động phát hiện và tải phiên bản trình điều khiển mới nhất cho model bo mạch chủ và chipset được phát hiện.
Sau khi cài đặt, công cụ vẫn hoạt động và chạy ở chế độ background thông qua dịch vụ local trên cổng 53000, liên tục kiểm tra các bản cập nhật trình điều khiển quan trọng. Trong khi đó, hầu hết người dùng thậm chí còn không biết có một dịch vụ như vậy đang chạy liên tục trên hệ thống của họ. Dịch vụ đó sẽ kiểm tra Origin Header của các HTTP request đến để từ chối bất kỳ yêu cầu nào không đến từ “driverhub[.]asus[.]com”.
Tuy nhiên, việc kiểm tra này được thực hiện không hiệu quả, vì bất kỳ trang web nào có chuỗi đó đều được chấp nhận, ngay cả khi nó không khớp chính xác với cổng thông tin chính thức của ASUS.
Vấn đề thứ hai nằm ở điểm cuối UpdateApp, cho phép DriverHub tải xuống và chạy các tệp EXE từ URL “[.]asus[.]com” mà không cần sự xác nhận của người dùng.
Thiết lập BIOS liên quan đến DriverHub (được bật theo mặc định). Nguồn: MrBruh
Luồng tấn công
Kẻ tấn công có thể nhắm vào bất kỳ người dùng nào có ASUS DriverHub đang chạy trên hệ thống để đánh lừa nạn nhân truy cập vào một trang web độc hại trên trình duyệt của họ. Sau đó, trang web này sẽ gửi “request UpdateApp” đến dịch vụ local tại địa chỉ “http://127[.]0[.]0[.]1:53000”.
Bằng cách giả mạo Origin Header thành một cái gì đó như “driverhub[.]asus[.]com[.]mrbruh[.]com”, quá trình kiểm tra xác thực yếu sẽ bị bỏ qua, do đó DriverHub chấp nhận các lệnh. Trong báo cáo của nhà nghiên cứu, các tập lệnh yêu cầu phần mềm tải xuống trình cài đặt AsusSetup[.]exe hợp pháp do ASUS ký số, cùng với tệp [.]ini độc hại và phần mềm độc hại [.]exe.
Trình cài đặt được ASUS ký số sẽ chạy ngầm dưới dạng quản trị viên và sử dụng thông tin cấu hình trong tệp [.]ini. Tệp ini này ra lệnh trình cài đặt trình điều khiển ASUS hợp lệ khởi chạy tệp thực thi độc hại.
Phản ứng của ASUS và hành động của người dùng
ASUS đã nhận được báo cáo vào ngày 8/4/2025 và triển khai bản sửa lỗi vào ngày 18/4, sau khi xác thực với MrBruh vào ngày hôm trước. Gã khổng lồ phần cứng không cung cấp cho nhà nghiên cứu bất kỳ khoản tiền thưởng nào cho việc tiết lộ của anh ta. Mô tả CVE mà nhà cung cấp Đài Loan đã gửi có phần hạ thấp vấn đề bằng tuyên bố sau: “Sự cố này chỉ giới hạn ở bo mạch chủ và không ảnh hưởng đến máy tính xách tay, máy tính để bàn hoặc các thiết bị đầu cuối khác”.
Điều này thật khó hiểu vì các CVE đã đề cập ảnh hưởng đến máy tính xách tay và máy tính để bàn có cài đặt DriverHub. Tuy nhiên, ASUS đã nêu rõ hơn trong bản tin bảo mật của mình khi khuyến nghị người dùng nhanh chóng áp dụng bản cập nhật mới nhất.
“Bản cập nhật này bao gồm các bản cập nhật bảo mật quan trọng và ASUS khuyến cáo người dùng cập nhật cài đặt ASUS DriverHub lên phiên bản mới nhất. Bạn có thể truy cập Bản cập nhật phần mềm mới nhất bằng cách mở ASUS DriverHub, sau đó nhấp vào nút Update Now”, bản tin của ASUS cho biết.
MrBruh cho biết ông đã theo dõi các bản cập nhật về tính minh bạch của chứng thư số và không tìm thấy bất kỳ chứng chỉ TLS nào khác có chứa chuỗi “driverhub[.]asus[.]com”, điều này cho thấy chuỗi này chưa bị khai thác trong thực tế. Nếu không thoải mái khi dịch vụ background tự động tải các tệp có khả năng gây nguy hiểm khi truy cập các trang web, bạn có thể tắt DriverHub khỏi cài đặt BIOS.
