美国网络安全与基础设施安全局(CISA)针对影响 Trimble Cityworks 的一个严重远程代码执行(RCE)漏洞发布了警告。Trimble Cityworks 是一款广泛应用于地方政府和公共工程资产管理的软件解决方案。
该漏洞编号为 CVE – 2025 – 0994,外部攻击者可利用一个反序列化缺陷,在客户的微软互联网信息服务(IIS)网络服务器上执行任意代码。
Trimble 已发布 Cityworks 的更新版本(15.8.9 和 23.10)来修复此漏洞。该公司敦促本地部署的客户立即安装更新。所有 Cityworks 在线(CWOL)部署已自动应用这些更新。
针对目标 IIS 的远程代码执行
此漏洞源于一个反序列化缺陷,攻击者可利用该缺陷在目标 IIS 网络服务器上实现远程代码执行(RCE)。
一旦成功利用此漏洞,攻击者可能未经授权访问敏感数据、扰乱关键服务,甚至有可能控制受影响的系统。
除了应用安全更新,Trimble 还建议客户检查并强化 IIS 身份权限。该公司注意到,一些本地部署的 IIS 身份权限可能过高。
为遵循安全最佳实践,IIS 不应以本地或域级别的管理员权限运行。有关如何更新 IIS 身份权限的详细说明,可在 Cityworks 支持门户的最新发行说明中找到。
CWOL 客户无需采取此行动,因为他们的 IIS 身份权限已正确配置。
Trimble 还建议检查附件目录配置。该公司建议,附件目录根配置应仅限于仅包含附件的文件夹 / 子文件夹,以防止潜在的安全风险。
在披露该漏洞的同时,Trimble 提供了一份入侵指标(IOC)列表,以帮助各机构检测潜在的利用尝试。
这些入侵指标包括与攻击相关的恶意文件的 SHA256 哈希值、文件路径、IP 地址和域名。
CISA 强烈建议 Cityworks 客户采取以下行动:
1.应用最新安全更新:尽快升级到 Cityworks 15.8.9 或 10 版本。
2.检查并强化 IIS 身份权限:确保 IIS 运行时不具备过多权限。
3.验证附件目录配置:将附件目录根配置限制为仅包含附件的文件夹 / 子文件夹。
4.监控入侵指标:利用提供的入侵指标检测网络内的潜在恶意活动。
有一个 Nuclei 模板可用于协助检测存在漏洞的实例。该模板提取存储在 HTML 主体中的版本信息,并判断是否存在 CVE – 2025 – 0994 漏洞。使用 Nuclei 模板的步骤如下:
1.下载 Nuclei。
2.将模板复制到本地系统。
3.运行命令:nuclei -u https://yourHost.com-t template.yaml。
CISA 鼓励各机构迅速采取行动,降低与 CVE – 2025 – 0994 相关的风险,并通过官方渠道及时了解 Trimble 发布的任何进一步更新或补丁信息。
发表评论
您还未登录,请先登录。
登录