Производитель программного обеспечения Trimble предупреждает, что хакеры используют уязвимость десериализации Cityworks для удаленного выполнения команд на серверах IIS и развертывания маячков Cobalt Strike для первоначального доступа к сети.
Trimble Cityworks – это ориентированное на географическую информационную систему (ГИС) программное обеспечение для управления активами и заказами на работы, предназначенное в первую очередь для местных органов власти, коммунальных служб и организаций, занимающихся общественными работами.
Продукт помогает муниципалитетам и инфраструктурным агентствам управлять общественными активами, обрабатывать заказы на работы, обрабатывать разрешения и лицензии, капитальное планирование и бюджетирование, а также многое другое.
Уязвимость, отслеживаемая как CVE-2025-0994, представляет собой проблему десериализации высокой степени серьезности (оценка CVSS v4.0: 8.6), которая позволяет аутентифицированным пользователям осуществлять RCE-атаки на серверы Microsoft Internet Information Services (IIS) заказчика.
Компания Trimble заявляет, что расследовала сообщения клиентов о получении хакерами несанкционированного доступа к сетям заказчиков с помощью этого дефекта, что указывает на то, что его эксплуатация уже ведется.
Эксплуатация для взлома сетей
Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило скоординированный совет, предупреждающий клиентов о необходимости немедленно защитить свои сети от атак.
Дефект CVE-2025-0994 затрагивает версии Cityworks до 15.8.9 и Cityworks с офисным компаньоном до 23.10.
Последние версии, 15.8.9 и 23.10, стали доступны 28 и 29 января 2025 года соответственно.
Администраторы, управляющие локальными развертываниями, должны применить обновление безопасности как можно скорее, в то время как облачные экземпляры (CWOL) получат обновления автоматически.
Trimble заявляет, что обнаружила, что некоторые локальные развертывания могут иметь чрезмерно высокие разрешения на идентификацию IIS, и предупреждает, что они не должны запускаться с привилегиями администратора локального или доменного уровня.
Кроме того, в некоторых развертываниях неверно настроена конфигурация каталога вложений. Производитель рекомендует ограничить корневые папки вложений, чтобы они содержали только вложения.
После выполнения всех трех действий клиенты могут возобновить нормальную работу с Cityworks.
В то время как CISA не сообщила, как именно эксплуатируется дефект, компания Trimble выпустила индикаторы компрометации для атак, в которых была замечена уязвимость.
Эти индикаторы указывают на то, что участники атак использовали различные инструменты для удаленного доступа, включая WinPutty и маяки Cobalt Strike.
Вчера Microsoft также предупредила, что хакеры взламывают серверы IIS для внедрения вредоносного ПО в ходе атак с использованием ViewState кода, используя машинные ключи ASP. NET машинные ключи, открытые в Интернете.
Комментарии (0)