Programinės įrangos pardavėjas „Trimble“ perspėja, kad įsilaužėliai išnaudoja „Cityworks“ noro pažeidžiamumą nuotoliniu būdu vykdyti komandas IIS serveriuose ir diegti „Cobalt Strike“ švyturėlius pradinei tinklo prieigai.
„Trimble CityWorks“ yra geografinės informacinės sistemos (GIS) orientuoto turto valdymo ir darbo užsakymų valdymo programinė įranga, pirmiausia skirta vietos valdžios, komunalinių paslaugų ir viešųjų darbų organizacijoms.
Produktas padeda savivaldybėms ir infrastruktūros agentūroms valdyti viešą turtą, tvarkyti darbo užsakymus, tvarko leidimus ir licencijavimą, kapitalo planavimą ir biudžeto sudarymą, be kitų dalykų.
FLAW, stebimas kaip CVE-2025-0994, yra didelio sunkumo (CVSS V4.0 balas: 8.6) Deserializacijos problema, leidžianti autentifikuotiems vartotojams atlikti RCE atakas prieš kliento „Microsoft Internet Information Services“ (IIS) serverius.
„Trimble“ teigia, kad ji ištyrė klientų ataskaitas apie įsilaužėlius, įgyjančius neteisėtą prieigą prie klientų tinklų, pasinaudojant trūkumu, tai rodo, kad vykdomas išnaudojimas.
Išnaudojimas pažeisti tinklus
JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) išleido suderintą patariamąjį įspėjimo klientus, kad jie nedelsiant apsaugotų savo tinklus nuo išpuolių.
„CVE-2025-0994“ trūkumas daro įtaką „CityWorks“ versijoms iki 15,8,9 ir „Cityworks“ su „Office Companion“ versijomis iki 23.10.
Naujausios versijos, 15,8,9 ir 23,10, buvo pateiktos atitinkamai 2025 m. Sausio 28 ir 29 d.
Administratoriai, valdantys diegimą vietoje, turi kuo greičiau pritaikyti saugos atnaujinimą, o debesų priglobti egzemplioriai (CWOL) atnaujinimus gaus automatiškai.
„Trimble“ sako, kad sužinojo, kad kai kurie vietiniai diegimai gali turėti pernelyg privilegijuotų IIS asmens tapatybės leidimų, perspėjant, kad jie neturėtų veikti su vietinėmis ar domeno lygio administracinėmis privilegijomis.
Be to, kai kurie diegimai turi neteisingų priedų katalogo konfigūracijų. Pardavėjas rekomenduoja apriboti priedų šaknies aplankus, kad būtų tik priedai.
Atlikę visus tris veiksmus, klientai gali atnaujinti įprastas operacijas „Cityworks“.
Nors CISA nesidalijo, kaip išnaudojama trūkumas, „Trimble“ išleido kompromisų rodiklius išpuoliams, kurie matė, kad išnaudojant pažeidžiamumą.
Šie IOC rodo, kad grėsmės veikėjai dislokavo įvairias nuotolinės prieigos priemones, įskaitant „Winputty“ ir „Cobalt Strike Beacons“.
„Microsoft“ taip pat vakar perspėjo, kad grėsmės veikėjai pažeidžia IIS serverius, kad galėtų diegti kenkėjišką programą „ViewState“ kodo injekcijos atakose, naudodami ASP. Grynieji kompiuteriai, veikiami internete.
