天宝公司发出警告，黑客正利用Cityworks软件的反序列化漏洞（CVE-2025-0994）攻击IIS服务器，该漏洞允许经过身份验证的用户执行远程代码。攻击者利用此漏洞部署Cobalt Strike信标，以实现初始网络访问。美国CISA也发布公告，敦促用户立即采取措施保护网络。受影响的版本包括15.8.9之前的Cityworks软件和23.10之前的办公配套版本。天宝已发布安全更新，并建议用户尽快应用。此外，天宝还发现部分本地部署的IIS身份权限过高，附件目录配置有误，并提出了相应的安全建议。

⚠️ **CVE-2025-0994反序列化漏洞：** 该漏洞存在于Trimble Cityworks软件中，攻击者可利用此漏洞对客户的IIS服务器发起远程代码执行攻击，通用漏洞评分系统 v4.0 评分为 8.6，属于严重级别。

🛡️ **受影响版本与修复方案：** 漏洞影响Cityworks 15.8.9之前的版本以及办公配套版本23.10之前的版本。天宝已发布15.8.9和23.10两个最新版本，建议本地部署管理员尽快应用安全更新，云托管实例将自动接收更新。

🔑 **安全配置建议：** 天宝建议检查本地部署的IIS身份权限，避免使用过高的权限运行，例如本地或域级管理员权限。同时，需要正确配置附件目录，限制附件根文件夹仅包含附件，以降低风险。

📡 **入侵指标与利用方式：** 虽然CISA尚未公布具体利用方式，但天宝已发布入侵指标，显示攻击者部署了多种远程访问工具，包括WinPutty和Cobalt Strike信标。微软也警告称，攻击者利用暴露的ASP.NET机器密钥，通过ViewState代码注入攻击来部署恶意软件。

软件供应商天宝（Trimble）发出警告，黑客正在利用 Cityworks 反序列化漏洞，在 IIS 服务器上远程执行命令，并部署 Cobalt Strike 信标以实现初始网络访问。 天宝 Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业公司和公共工程机构。 该产品可帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划与预算编制等事务。 此漏洞编号为 CVE – 2025 – 0994，属于严重级别（通用漏洞评分系统 v4.0 评分为 8.6）的反序列化问题，已认证用户可利用该漏洞对客户的微软互联网信息服务（IIS）服务器发起远程代码执行（RCE）攻击。 天宝表示，已对客户有关黑客利用该漏洞未经授权访问客户网络的报告展开调查，这表明该漏洞正在被利用。 利用漏洞入侵网络美国网络安全与基础设施安全局（CISA）发布了一份协同公告，警告客户立即保护其网络免受攻击。 CVE – 2025 – 0994 漏洞影响 15.8.9 版本之前的 Cityworks 软件，以及办公配套版本在 23.10 之前的 Cityworks。 最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 1 月 29 日发布。 管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。 天宝称，已发现部分本地部署的 IIS 身份权限可能过高，并警告不应以本地或域级管理员权限运行。 此外，部分部署的附件目录配置有误。该供应商建议将附件根文件夹限制为仅包含附件。 完成上述三项操作后，客户即可恢复 Cityworks 的正常运行。 虽然 CISA 尚未透露该漏洞的利用方式，但天宝已发布了针对利用此漏洞攻击的入侵指标（IoC）。 这些入侵指标表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。 微软昨日也发出警告，威胁行为者正在入侵 IIS 服务器，利用在网上暴露的ASP.NET机器密钥，通过 ViewState 代码注入攻击来部署恶意软件。