Компания ASUS приняла радикальное решение в ответ на обнаружение критической уязвимости в своем программном обеспечении для бизнеса. Вместо выпуска исправления уязвимость CVE-2025-13348 в ASUS Business Manager была устранена путем полного удаления проблемной функции File Shredder. Это решение подчеркивает серьезность угрозы и потенциальные риски эксплуатации данного компонента. Соответствующее уведомление о безопасности было опубликовано производителем 2 февраля 2026 года.
Детали уязвимости
Уязвимость затрагивала ASUS Business Manager версий 3.0.36.0 и более ранних. Как указано в описании CVE, проблема классифицируется как CWE-862 (отсутствие авторизации) в драйвере Secure Delete. Её суть заключается в некорректном контроле доступа. Специально созданный запрос от локального пользователя мог привести к созданию произвольных файлов в указанном пути. Следовательно, злоумышленник с доступом к системе мог бы использовать эту брешь для размещения вредоносного ПО или получения устойчивости в системе.
Оценка по шкале CVSS 4.0 составила 8.5 баллов, что соответствует высокому уровню опасности. Вектор атаки был локальным, не требовал специальных условий и высокой привилегии, однако последствия могли быть значительными для конфиденциальности, целостности и доступности данных. Учитывая характер уязвимости и связанные с ней риски, ASUS выбрала путь деактивации функции, а не её исправления. Компания уже выпустила обновленные версии программного обеспечения, в которых инструмент File Shredder (безопасное удаление файлов) отсутствует.
ASUS является авторизованным партнером по присвоению идентификаторов CVE и участником Форума групп реагирования на инциденты и безопасности. В своей деятельности компания следует принципам скоординированного раскрытия уязвимостей и стандартам ISO 29147:2018 и ISO 30111:2019. Данное событие является частью регулярного цикла обновлений безопасности. Всего за 2025 год и начало 2026 года ASUS опубликовала 89 рекомендаций, касающихся различных продуктов, включая MyASUS, прошивки маршрутизаторов, Armoury Crate и UEFI.
Организациям и частным пользователям, которые применяют ASUS Business Manager для управления корпоративными устройствами, необходимо немедленно проверить текущую версию ПО. Если установлена версия 3.0.36.0 или более ранняя, требуется обновление до актуального выпуска, где уязвимая функция исключена. Проверить версию и загрузить последние обновления безопасности можно через официальный портал рекомендаций по безопасности ASUS.
Этот инцидент служит важным напоминанием о необходимости поддержания всего программного обеспечения в актуальном состоянии. Регулярное обновление прошивок и приложений остается ключевой практикой для обеспечения комплексной защиты. ASUS призывает всех пользователей своевременно устанавливать патчи для минимизации поверхностей атаки на своих устройствах. Тем временем, удаление целого функционального модуля вместо его точечного исправления становится заметным трендом среди вендоров при столкновении со сложными или глубоко укорененными уязвимостями в коде.
