HackerNews 编译,转载请注明出处:
软件供应商 Trimble 警告称,黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令,并部署 Cobalt Strike 信标以获取初始网络访问权限。
Trimble Cityworks 是一款以地理信息系统(GIS)为核心的资产管理和工单管理软件,主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。
该漏洞被追踪为 CVE-2025-0994,是一个高严重性(CVSS v4.0 评分为 8.6)的反序列化问题,允许经过身份验证的用户对客户的微软互联网信息服务(IIS)服务器执行远程代码攻击。
Trimble 表示,已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告,表明该漏洞正在被积极利用。
美国网络安全和基础设施安全局(CISA)已发布协调公告,警告客户立即保护其网络免受攻击。
CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。
最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。
管理本地部署的管理员必须尽快应用安全更新,而云托管实例(CWOL)将自动接收更新。
Trimble 警告称,一些本地部署可能具有过度特权的 IIS 身份权限,这些权限不应以本地或域级管理员权限运行。此外,一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。
在完成上述所有三个操作后,客户可以恢复 Cityworks 的正常运行。
虽然 CISA 尚未分享该漏洞的利用方式,但 Trimble 已发布利用该漏洞的攻击的入侵指标(IOC)。这些 IOC 表明,威胁行为者部署了多种远程访问工具,包括 WinPutty 和 Cobalt Strike 信标。
微软还于昨日警告称,威胁行为者正在利用在线暴露的 ASP.NET 机器密钥,通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
