A fabricante de software Trimble está alertando que hackers estão explorando uma vulnerabilidade de deserialization no Cityworks para executar comandos remotamente em servidores IIS e implantar beacons do Cobalt Strike para acesso inicial à rede.
O Trimble Cityworks é um software de gerenciamento de ativos e ordens de serviço centrado em Sistema de Informações Geográficas (GIS), projetado principalmente para governos locais, utilidades e organizações de obras públicas.
O produto auxilia municípios e agências de infraestrutura a gerenciar ativos públicos, processar ordens de serviço, lidar com permissões e licenciamentos, planejamento de capital e orçamento, entre outras coisas.
A falha, rastreada como
CVE-2025-0994
, é um problema de deserialization de alta gravidade (pontuação CVSS v4.0: 8.6) que permite a usuários autenticados realizar ataques de RCE contra servidores Microsoft Internet Information Services (IIS) de um cliente.
A Trimble declara que investigou relatos de clientes sobre hackers ganhando acesso não autorizado às redes de clientes aproveitando a falha, indicando que a exploração está em andamento.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um aviso coordenado pedindo aos clientes para imediatamente protegerem suas redes contra ataques.
A falha
CVE-2025-0994
afeta versões do Cityworks anteriores à 15.8.9 e Cityworks com versões de companheiro de escritório antes de 23.10.
As versões mais recentes, 15.8.9 e 23.10, ficaram disponíveis respectivamente em 28 e 29 de janeiro de 2025.
Administradores que gerenciam implantações locais devem aplicar a atualização de segurança o mais rápido possível, enquanto instâncias hospedadas na nuvem (CWOL) receberão as atualizações automaticamente.
A Trimble diz que descobriu que algumas implantações locais podem ter permissões de identidade do IIS com privilégios excessivos, alertando que estas não devem rodar com privilégios administrativos locais ou de domínio.
Além disso, algumas implantações têm configurações incorretas do diretório de anexos.
O fabricante recomenda restringir as pastas raiz de anexos para conter somente anexos.
Após completar todas as três ações, os clientes podem retomar as operações normais com o Cityworks.
Embora a CISA não tenha compartilhado como a falha está sendo explorada, a Trimble divulgou indicadores de comprometimento para ataques vistos explorando a vulnerabilidade.
Esses IOCs indicam que os atores de ameaça implantaram uma variedade de ferramentas para acesso remoto, incluindo WinPutty e beacons do Cobalt Strike.
A Microsoft também alertou ontem que atores de ameaças estão violando servidores IIS para implantar malware em ataques de injeção de código ViewState usando chaves de máquina ASP.NET expostas online.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...