10/02/25
По данным CISA, уязвимость уже используется в реальных атаках.
Cityworks — это GIS-ориентированное решение, применяемое муниципальными органами, аэропортами, коммунальными службами и другими организациями для управления инфраструктурой. Продукт используется по всему миру, что делает его привлекательной целью для киберпреступников, пишет Securitylab.
В результате успешной эксплуатации уязвимости CVE-2025-0994 (оценка CVSS: 8.6) злоумышленник с учетной записью в системе может получить полный контроль над сервером, на котором развернуто ПО Cityworks. Проблема связана с десериализацией недоверенных данных (CWE-502) и затрагивает все версии Cityworks до 15.8.9, а также Cityworks с Office Companion до 23.10.
CISA выпустило предупреждение в связи с эксплуатацией уязвимости в промышленном секторе. Однако в отчете указано, что Cityworks не контролирует промышленные процессы напрямую, что исключает принадлежность программы к ICS-системам. По данным Trimble, злоумышленники использовали CVE-2025-0994 для доставки Cobalt Strike и других вредоносных программ, название которых пока не раскрывается, что указывает на сложные целевые атаки, направленные против определенных организаций.
Информация о том, кто стоит за атаками, остается неизвестной. Однако в Trimble получили сообщения о попытках несанкционированного доступа к конкретным развертываниям Cityworks. Учитывая профиль пользователей программного обеспечения, можно предположить, что атаки были направлены на критически важные инфраструктурные объекты.
Trimble уже выпустила обновления для Cityworks 15.8.9 и Cityworks 23.10. Облачные пользователи Cityworks Online получат исправления автоматически, а организациям с локальными развертываниями настоятельно рекомендуется обновить ПО вручную. Также рекомендуется пересмотреть права IIS, так как в некоторых случаях они оказываются избыточными, что может усугубить угрозу.
CISA напоминает об общем наборе мер по защите систем: проверка конфигурации директории вложений, минимизация прав доступа IIS и развертывание обновлений. Агентство также призывает компании усиливать киберзащиту, следуя принципам защиты в глубину и реализовывая стратегии обнаружения вторжений.
