Trimble公司发出警告，指出黑客正在利用Cityworks软件中的反序列化漏洞(CVE-2025-0994)远程攻击IIS服务器，并部署Cobalt Strike信标以获取网络访问权限。美国CISA也发布了咨询，敦促客户立即采取措施保护网络。该漏洞影响Cityworks的多个版本，允许认证用户对IIS服务器执行远程代码执行攻击。Trimble已发布更新修复该漏洞，建议本地部署管理员尽快应用安全更新，云托管实例将自动推送更新。

⚠️Cityworks软件存在高危反序列化漏洞（CVE-2025-0994），CVSS v4.0 评分为 8.6，认证用户可利用该漏洞对Microsoft IIS服务器发起远程代码执行（RCE）攻击。

🛡️黑客利用该漏洞攻击IIS服务器，目的是部署Cobalt Strike信标等远程访问工具，从而获取网络的初始访问权限，给用户网络安全带来严重威胁。

🧑‍💻Trimble公司已发布Cityworks软件的更新版本15.8.9和23.10，修复了CVE-2025-0994漏洞，建议管理本地部署的管理员尽快应用安全更新，云托管实例（CWOL）将自动推送更新。

IT之家 2 月 8 日消息，软件供应商 Trimble 发出警告，报告称已有证据表明，黑客利用 Cityworks 软件中的一个反序列化漏洞（CVE-2025-0994），远程攻击 IIS 服务器，并部署 Cobalt Strike 信标，以获取网络的初始访问权限。

美国网络安全和基础设施安全局（CISA）也发布了协调咨询，警告客户立即保护其网络免受攻击。

CISA 尚未分享该漏洞被利用的具体方式，但 Trimble 发布了攻击利用该漏洞的入侵指标 (IOC)。这些 IOC 表明，威胁行为者部署了包括 WinPutty 和 Cobalt Strike 信标等各种远程访问工具。微软也警告称，威胁行为者正在入侵 IIS 服务器。

IT之家简要介绍下 Cityworks，这是一款以地理信息系统（GIS）为中心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。

CVE-2025-0994 漏洞是一个高危的反序列化问题，CVSS v4.0 评分为 8.6。认证用户可以通过该漏洞对客户的 Microsoft Internet Information Services（IIS）服务器执行远程代码执行（RCE）攻击。

该漏洞影响 15.8.9 之前的 Cityworks 版本，以及 23.10 之前的带有 office companion 的 Cityworks 版本。

Trimble 已于 2025 年 1 月 28 日和 29 日分别发布了最新版本 15.8.9 和 23.10，管理本地部署的管理员必须尽快应用安全更新；云托管实例（CWOL）将自动推送更新。