Сотрудники Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) 6 февраля 2025 года предупредили, что обнаруженная в Trimble Cityworks уязвимость CVE-2025-0994 «находится под активной эксплуатацией в реальных атаках». Программа Cityworks представляет собой GIS-ориентированное решение для управления активами, поэтому проблема угрожает инфраструктуре, зависящей от этой платформы.
Уязвимость оценивается по шкале CVSS v4 в 8,6 баллов и связана с десериализацией непод trustworthyных данных. «Это может позволить аутентифицированному пользователю выполнить атаку удаленного исполнения кода против IIS-сервера Microsoft Internet Information Services (IIS) клиента», — указывается в предупреждении CISA. Наибольшему риску подвержены все версии Cityworks с офисным модулем, выпущенные до 23.10.
Trimble выпустила заплатку 29 января 2025 года, чтобы устранить данную проблему. Эксперты настоятельно рекомендуют пользователям немедленно обновить программное обеспечение до последней версии, поскольку в старых билдах сохраняется риск компрометации. Такую меру считаются единственно надежным способом защиты от возможных атак.
Специалисты подтверждают, что уязвимость активно используется в диком доступе. Согласно собранным индикаторам компрометации, злоумышленники оставляют Rust-библиотеку, запускают Cobalt Strike и разворачивают Go-ориентированную программу удаленного доступа VShell на зараженных серверах. Также упоминаются неизвестные дополнительные вредоносные компоненты.
Компания Trimble из Колорадо (США) отмечает, что к ней поступали сообщения об «несанкционированных попытках получить доступ к конкретным внедрениям Cityworks». Помимо этого, неизвестно, кто именно за этим стоит и какие долгосрочные цели преследуют злоумышленники.
CISA акцентирует внимание на том, что характер атак свидетельствует о серьезности угрозы, а совокупность используемых инструментов указывает на профессиональную подготовку преступников. При этом точные мотивы нападавших пока остаются неясными.
Администраторам и владельцам уязвимых систем рекомендуется без промедления интегрировать официальное обновление. Эта мера позволяет предотвратить удаленный запуск кода на Microsoft IIS-серверах, защитить критическую инфраструктуру и сохранить конфиденциальность данных.
Изображение носит иллюстративный характер
Уязвимость оценивается по шкале CVSS v4 в 8,6 баллов и связана с десериализацией непод trustworthyных данных. «Это может позволить аутентифицированному пользователю выполнить атаку удаленного исполнения кода против IIS-сервера Microsoft Internet Information Services (IIS) клиента», — указывается в предупреждении CISA. Наибольшему риску подвержены все версии Cityworks с офисным модулем, выпущенные до 23.10.
Trimble выпустила заплатку 29 января 2025 года, чтобы устранить данную проблему. Эксперты настоятельно рекомендуют пользователям немедленно обновить программное обеспечение до последней версии, поскольку в старых билдах сохраняется риск компрометации. Такую меру считаются единственно надежным способом защиты от возможных атак.
Специалисты подтверждают, что уязвимость активно используется в диком доступе. Согласно собранным индикаторам компрометации, злоумышленники оставляют Rust-библиотеку, запускают Cobalt Strike и разворачивают Go-ориентированную программу удаленного доступа VShell на зараженных серверах. Также упоминаются неизвестные дополнительные вредоносные компоненты.
Компания Trimble из Колорадо (США) отмечает, что к ней поступали сообщения об «несанкционированных попытках получить доступ к конкретным внедрениям Cityworks». Помимо этого, неизвестно, кто именно за этим стоит и какие долгосрочные цели преследуют злоумышленники.
CISA акцентирует внимание на том, что характер атак свидетельствует о серьезности угрозы, а совокупность используемых инструментов указывает на профессиональную подготовку преступников. При этом точные мотивы нападавших пока остаются неясными.
Администраторам и владельцам уязвимых систем рекомендуется без промедления интегрировать официальное обновление. Эта мера позволяет предотвратить удаленный запуск кода на Microsoft IIS-серверах, защитить критическую инфраструктуру и сохранить конфиденциальность данных.
