2025年5月12日、ASUS製ドライバ管理ツール「DriverHub」に存在した複数の深刻な脆弱性(CVE-2025-3462およびCVE-2025-3463)が公表されました。プログラマーのMrBruh氏がこれらは組み合わせることで、悪意あるウェブサイトから利用者のPC上で管理者権限による任意コード実行(RCE)が可能となるもので、影響は広範囲に及ぶ可能性が指摘しています。
脆弱性の内容と影響
DriverHubは、ASUSマザーボードを搭載したPCで初回起動時に自動インストールされるドライバ管理ソフトウェアです。OS上でバックグラウンドサービスとして稼働し、特定ポート(127.0.0.1:53000)でローカルHTTP通信を通じてドライバの更新管理を行います。
主な問題点
-
Originヘッダーの検証不備
DriverHubは、リクエストのOriginヘッダーがdriverhub.asus.comを含んでいれば正当な通信とみなして受け入れてしまう実装になっており、たとえばdriverhub.asus.com.malicious.comのような偽装も許可されていました。 -
UpdateAppエンドポイントの設計不備
.asus.comを含むURLから任意のファイルをダウンロード・実行可能。さらに、署名検証に失敗したファイルでもローカル保存されるため、攻撃に悪用される余地がありました。
実際の攻撃シナリオ
セキュリティ研究者「MrBruh」による実証実験では、以下の手順で攻撃が成立することが確認されました。
-
ユーザーが細工されたウェブサイト(
driverhub.asus.com.*サブドメインを含む)にアクセス。 -
ウェブサイトからDriverHubのローカルサービス(127.0.0.1:53000)へリクエストを送信。
-
正規のASUS署名済みインストーラ(AsusSetup.exe)と、細工された設定ファイル(AsusSetup.ini)をダウンロード。
-
AsusSetup.exeが自動で実行され、細工されたiniファイルに従って任意の実行ファイル(例:calc.exe)が管理者権限で実行される。
この手法により、ユーザーの操作なしで完全なコード実行が可能となります。
ASUSの対応と現状
-
2025年4月8日:脆弱性報告を受領
-
2025年4月18日:修正版ソフトウェアをリリース
-
2025年5月9日:CVE-2025-3462(CVSS 8.4)、CVE-2025-3463(CVSS 9.4)が公開
ASUSは、DriverHub利用者に対し「最新バージョンへの更新を強く推奨」しています。DriverHubを起動し、「Update Now」ボタンを押すことで修正版に更新可能です。
また、DriverHubの自動起動そのものが不安な場合は、BIOS設定からDriverHub機能を無効化することも推奨されています。
参照
https://mrbruh.com/asusdriverhub/
関連記事
横河電機の産業用レコーダーに期設定で認証機能が無効化されている脆弱性(CVE-2025-1863)
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
Fortinet、VPNの既知の脆弱性の「シンボリックリンク」を利用し不正アクセスを維持する活動を警告
SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
IIJ セキュアMXサービスへのサイバー攻撃でメールアドレス約31万件と586契約の情報漏洩を確認-IIJ
Cisco Webexに深刻なRCE脆弱性、会議リンク経由で不正コード実行の恐れ(CVE-2025-20236)
FortiGateのゼロデイ脆弱性がダークウェブで販売か
個人情報保護委員会が大手損保4社へ行政指導 保険代理店との間で保険契約者の個人情報を不適切に共有
