Die Firma Trimble warnt davor, dass Cityworks bei RCE-Angriffen missbraucht wird

Die Firma hat ein Patch veröffentlicht, um das Problem anzugehen

CISA warnt die Benutzer, den Patch so schnell wie möglich anzuwenden

Experten warnen davor, dass Hacker Regierungssoftware kapern, um auf sensible Server zuzugreifen. Die Warnung kommt von dem Softwareanbieter Trimble, dessen Produkt anscheinend bei dem Angriff verwendet wurde. In einem Schreiben an Kunden und Partner teilte Trimble mit, dass Cyberkriminelle eine Deserialisierbarkeitsschwachstelle in ihrem Cityworks-Produkt missbrauchen, um Remote Code Execution (RCE) durchzuführen und Cobalt Strike-Beacons auf Microsoft Internet Information Services (IIS)-Servern bereitzustellen.

Trimble Cityworks ist eine Geoinformationssystem-Asset-Management- und Genehmigungssoftware, die dazu entwickelt wurde, Kommunen und Versorgungsunternehmen beim effizienten Management von Infrastruktur, Wartung und Betrieb zu unterstützen. Es wurde festgestellt, dass es anfällig für CVE-2025-0994 war, einen schwerwiegenden Deserialisierungsfehler, der RCE ermöglichte, und eine Schweregradbewertung von 8.6 (hoch) erhielt.

Die Schwachstelle beheben

„Infolge unserer Untersuchung von Berichten über unbefugte Versuche, Zugriff auf bestimmte Cityworks-Bereitstellungen von Kunden zu erhalten, haben wir drei Updates für Sie“, sagte die Firma in dem Schreiben. Um der Bedrohung entgegenzuwirken, aktualisierte Trimble Cityworks 15.x auf Version 15.8.9 und 23.x auf 23.10. Es wurde auch vor der Entdeckung einiger On-Premise-Bereitstellungen mit überprivilegierten IIS-Identitätsberechtigungen gewarnt, und es wurde hinzugefügt, dass einige Bereitstellungen falsche Anlagenverzeichniskonfigurationen aufwiesen. All dies sollte gleichzeitig angegangen werden, um die Bedrohung zu mildern und den normalen Betrieb mit Cityworks wieder aufzunehmen.

Wir wissen nicht, wie groß der Angriff ist oder ob Organisationen als Folge davon kompromittiert wurden, aber die US-amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat eine koordinierte Warnung herausgegeben, in der Kunden dringend empfohlen wird, die Patches so schnell wie möglich anzuwenden. „CISA erinnert Organisationen daran, vor der Implementierung von Verteidigungsmaßnahmen eine angemessene Auswirkungsanalyse und Risikobewertung durchzuführen“, hieß es in der Warnung. „Organisationen, die verdächtige bösartige Aktivitäten beobachten, sollten interne Verfahren befolgen und Erkenntnisse zur Verfolgung und Korrelation mit anderen Vorfällen an CISA melden.“ Via BleepingComputer.