Изображение: recraft
Разработчик ПО компания Trimble сообщила в своём новом отчёте, что киберпреступники используют уязвимость десериализации в Cityworks для удалённого запуска команд на серверах Microsoft IIS. Атака позволяет злоумышленникам развернуть маяки Cobalt Strike и получить первоначальный доступ к сети.
Cityworks — это система управления активами и заявками на выполнение работ, основанная на технологиях геоинформационных систем (ГИС). Она применяется в работе муниципальных служб, коммунальных предприятий и государственных инфраструктурных агентств. Продукт предназначен для учёта и обслуживания объектов, обработки заявок, выдачи разрешений, лицензирования, планирования инвестиций, составления бюджета и других задач.
Уязвимость, получившая идентификатор CVE-2025-0994, представляет собой серьёзную проблему десериализации с оценкой 8,6 балла по шкале CVSS v4.0. Она позволяет пользователям с учётной записью выполнять атаки удалённого исполнения кода (RCE) на IIS-серверах клиентов.
Компания Trimble провела расследование инцидентов и подтвердила факты эксплуатации данной уязвимости для получения несанкционированного доступа к корпоративным сетям. Специалисты компании подчёркивают, что атаки уже идут, и пользователям следует немедленно принять меры для защиты инфраструктуры.
Агентство CISA в США подготовило официальное предупреждение с рекомендациями по защите систем. Сообщается, что проблема затрагивает Cityworks версий до 15.8.9, а также редакции с офисными приложениями, выпущенные до 23.10. Последние версии, содержащие исправления, были опубликованы 28 и 29 января 2025 года.
Администраторам локальных развертываний рекомендуется немедленно установить обновления безопасности. В то же время облачные версии Cityworks (CWOL) получат исправления автоматически.
Специалисты Trimble обратили внимание, что в ряде локальных установок используются чрезмерно привилегированные учётные записи IIS. Они подчеркнули, что запуск системы не должен осуществляться с локальными или доменными административными правами.
Кроме того, выявлены ошибки конфигурации директорий вложений. Эксперты советуют ограничить доступ к корневым папкам, оставив в них только вложенные файлы. После внедрения всех необходимых корректировок пользователи смогут безопасно продолжить работу с Cityworks.
Полная версия отчета представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Trimble: хакеры эксплуатируют уязвимость Cityworks RCE для взлома серверов Microsoft IIS".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
