Softwareleverancier Trimble waarschuwt dat hackers gebruikmaken van een deserialisatiekwetsbaarheid in Cityworks om op afstand opdrachten uit te voeren op IIS-servers en Cobalt Strike-beacons te implementeren voor initiële netwerktoegang.

Trimble Cityworks is een geografisch informatiesysteem (GIS)-gericht softwarepakket voor assetbeheer en werkorderbeheer, voornamelijk bedoeld voor lokale overheden, nutsbedrijven en openbare-werkenorganisaties.

Het product helpt gemeenten en infrastructuurorganisaties om openbare activa te beheren, werkorders te verwerken, vergunningen en licenties af te handelen, kapitaalplanning en budgettering te beheren, onder andere zaken.

De kwetsbaarheid, bijgehouden als CVE-2025-0994, is een deserialisatieprobleem met een hoge ernst (CVSS v4.0-score: 8.6) dat geauthenticeerde gebruikers in staat stelt om RCE-aanvallen uit te voeren op de Microsoft Internet Information Services (IIS)-servers van een klant.

Trimble meldt dat het klantmeldingen heeft onderzocht over hackers die ongeautoriseerde toegang krijgen tot klantnetwerken door gebruik te maken van de kwetsbaarheid, wat aangeeft dat exploitatie aan de gang is.

Netwerken binnendringen door exploitatie

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een gecoördineerd advies uitgebracht waarin klanten worden gewaarschuwd hun netwerken onmiddellijk te beveiligen tegen aanvallen.

De CVE-2025-0994-kwetsbaarheid treft Cityworks-versies vóór 15.8.9 en Cityworks met kantoorbegeleidingsversies vóór 23.10.

De nieuwste versies, 15.8.9 en 23.10, zijn respectievelijk op 28 en 29 januari 2025 beschikbaar gesteld.

Beheerders die on-premise implementaties beheren, moeten de beveiligingsupdate zo snel mogelijk toepassen, terwijl cloud-gehoste exemplaren (CWOL) de updates automatisch zullen ontvangen.

Trimble zegt te hebben ontdekt dat sommige on-premises implementaties mogelijk te veel bevoegde IIS-identiteitsmachtigingen hebben en waarschuwt dat deze niet met lokale of domeinniveau-administratieve privileges moeten draaien.

Bovendien hebben sommige implementaties onjuiste configuraties van bijlagemappen. De leverancier raadt aan de hoofdmap voor bijlagen te beperken tot alleen bijlagen.

Nadat alle drie de acties zijn voltooid, kunnen klanten de normale operaties met Cityworks hervatten.

Hoewel CISA niet heeft gedeeld hoe de kwetsbaarheid wordt geëxploiteerd, heeft Trimble indicatoren van compromittering vrijgegeven voor waargenomen aanvallen die misbruik maken van de kwetsbaarheid.

Deze IOCs geven aan dat de dreigingsactoren een verscheidenheid aan tools voor externe toegang hebben ingezet, waaronder WinPutty en Cobalt Strike-beacons.

Microsoft waarschuwde gisteren ook dat dreigingsactoren IIS-servers binnendringen om malware te implementeren in ViewState-code-injectieaanvallen met behulp van ASP. NET-machine-sleutels die online zijn blootgesteld.