Vulnerabilidad crítica en ASUS DriverHub permite ejecución remota de código

Una vulnerabilidad crítica en ASUS DriverHub, la herramienta de administración de controladores preinstalada en ciertas placas base ASUS, permitía a atacantes ejecutar código de forma remota mediante sitios web especialmente diseñados. Este fallo de seguridad fue descubierto por el investigador independiente de ciberseguridad de Nueva Zelanda conocido como MrBruh (Paul), quien detectó una deficiente validación de comandos en el servicio local de DriverHub.

Fallas identificadas: CVE-2025-3462 y CVE-2025-3463

El problema de seguridad radica en cómo DriverHub valida el origen de las solicitudes HTTP entrantes en el puerto local 53000. Aunque el servicio está diseñado para aceptar comandos solo del dominio oficial No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la validación era superficial y permitía solicitudes con encabezados de origen que contenían simplemente esa cadena, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Esta debilidad permitió la creación de una cadena de exploits que, combinando dos vulnerabilidades críticas rastreadas como CVE-2025-3462 y CVE-2025-3463, posibilitaba la ejecución remota de código (RCE) en sistemas con ASUS DriverHub instalado.

¿Qué es ASUS DriverHub y por qué representa un riesgo?

ASUS DriverHub es una herramienta oficial que se instala automáticamente al iniciar por primera vez sistemas con placas base ASUS compatibles. Su función es detectar y actualizar automáticamente los controladores del chipset correspondiente.

El problema es que esta utilidad se ejecuta permanentemente en segundo plano, abriendo un servicio local que escucha en el puerto 53000, sin que la mayoría de los usuarios sean conscientes de ello. Este servicio realiza comprobaciones constantes en busca de actualizaciones, aceptando comandos que provengan —supuestamente— del dominio oficial de ASUS.

No obstante, el fallo de validación de origen permitía que sitios maliciosos enviaran comandos como si fueran de ASUS, lo que exponía a los usuarios a ataques sin interacción adicional.

Punto de entrada: el endpoint UpdateApp

Otro vector crítico fue el endpoint UpdateApp, que permite a DriverHub descargar y ejecutar archivos .exe desde URLs que contengan ".asus.com" sin requerir autorización del usuario. Esta funcionalidad, combinada con la validación débil de origen, abre la puerta a ataques dirigidos.

Un atacante solo necesitaba engañar al usuario para visitar un sitio web malicioso. Desde allí, el sitio enviaba solicitudes al servicio de DriverHub en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, utilizando encabezados falsificados como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esto bastaba para que DriverHub aceptara las instrucciones y descargara archivos potencialmente maliciosos.

Prueba de concepto: instalador legítimo como vector de ataque

En su prueba de concepto, MrBruh demostró que es posible instruir a DriverHub para que descargue el instalador legítimo AsusSetup.exe desde el sitio oficial, junto con un archivo .ini manipulado y una carga útil .exe maliciosa.

El instalador legítimo, firmado por ASUS, se ejecuta silenciosamente como administrador. Al usar el archivo .ini malicioso como configuración, el instalador ejecuta la carga útil maliciosa sin que el usuario lo note. Este comportamiento fue posible porque DriverHub no elimina archivos descargados que no superan las verificaciones de firma, manteniéndolos activos en el sistema.

Respuesta de ASUS y medidas de mitigación

ASUS fue notificada del fallo el 8 de abril de 2025 y lanzó un parche correctivo el 18 de abril, tras validar la solución con el investigador. Sin embargo, la empresa no ofreció compensación a MrBruh por su descubrimiento.

En las descripciones de las vulnerabilidades (CVE), ASUS indicó que el problema afectaba solo a placas base, excluyendo portátiles, PCs de escritorio u otros endpoints. Esta afirmación es cuestionable, ya que DriverHub también puede instalarse en otros dispositivos compatibles, por lo que el alcance real podría ser más amplio.

ASUS fue más claro en su boletín de seguridad oficial, instando a los usuarios a actualizar DriverHub inmediatamente:

Citar"Esta actualización incluye importantes mejoras de seguridad y se recomienda encarecidamente actualizar a la última versión de ASUS DriverHub".

La actualización puede aplicarse directamente desde la aplicación seleccionando la opción "Actualizar ahora".

¿Se ha explotado esta vulnerabilidad?

Según MrBruh, no se han detectado indicios de explotación activa en el entorno real. Tras monitorear los registros de transparencia de certificados TLS, no encontró evidencias de otros certificados que utilizaran el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo cual indica que la vulnerabilidad no fue explotada masivamente.

Recomendaciones de seguridad

Si bien ASUS ha solucionado la vulnerabilidad, los usuarios preocupados por su privacidad y seguridad pueden optar por desactivar ASUS DriverHub desde la configuración de la BIOS, especialmente si no desean que un servicio en segundo plano descargue archivos automáticamente al visitar sitios web.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta