软件供应商天宝(Trimble)发出警告,黑客正在利用 Cityworks 反序列化漏洞,在 IIS 服务器上远程执行命令,并部署 Cobalt Strike 信标以实现初始网络访问。
天宝 Cityworks 是一款以地理信息系统(GIS)为核心的资产管理和工单管理软件,主要面向地方政府、公用事业公司和公共工程机构。
该产品可帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划与预算编制等事务。
此漏洞编号为 CVE – 2025 – 0994,属于严重级别(通用漏洞评分系统 v4.0 评分为 8.6)的反序列化问题,已认证用户可利用该漏洞对客户的微软互联网信息服务(IIS)服务器发起远程代码执行(RCE)攻击。
天宝表示,已对客户有关黑客利用该漏洞未经授权访问客户网络的报告展开调查,这表明该漏洞正在被利用。
利用漏洞入侵网络
美国网络安全与基础设施安全局(CISA)发布了一份协同公告,警告客户立即保护其网络免受攻击。
CVE – 2025 – 0994 漏洞影响 15.8.9 版本之前的 Cityworks 软件,以及办公配套版本在 23.10 之前的 Cityworks。
最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 1 月 29 日发布。
管理本地部署的管理员必须尽快应用安全更新,而云托管实例(CWOL)将自动接收更新。
天宝称,已发现部分本地部署的 IIS 身份权限可能过高,并警告不应以本地或域级管理员权限运行。
此外,部分部署的附件目录配置有误。该供应商建议将附件根文件夹限制为仅包含附件。
完成上述三项操作后,客户即可恢复 Cityworks 的正常运行。
虽然 CISA 尚未透露该漏洞的利用方式,但天宝已发布了针对利用此漏洞攻击的入侵指标(IoC)。
这些入侵指标表明,威胁行为者部署了多种远程访问工具,包括 WinPutty 和 Cobalt Strike 信标。
微软昨日也发出警告,威胁行为者正在入侵 IIS 服务器,利用在网上暴露的ASP.NET机器密钥,通过 ViewState 代码注入攻击来部署恶意软件。
发表评论
您还未登录,请先登录。
登录