شرکت فروشنده نرمافزار Trimble هشدار داده است که هکرها در حال سوءاستفاده از یک آسیبپذیری عدم سریالسازی (deserialization) در Cityworks هستند تا بهصورت از راه دور دستورات را روی سرورهای IIS اجرا کرده و beaconهای Cobalt Strike را برای دسترسی اولیه به شبکه مستقر کنند.
Trimble Cityworks یک نرمافزار مدیریت دارایی و مدیریت دستورات کاری مبتنی بر سیستم اطلاعات جغرافیایی (GIS) است که عمدتاً برای دولتهای محلی، شرکتهای خدماتی و سازمانهای خدمات عمومی طراحی شده است.
این محصول به شهرداریها و سازمانهای زیرساختی کمک میکند تا داراییهای عمومی را مدیریت کنند، دستورات کاری را پردازش کنند، مجوزها و پروانهها را رسیدگی کنند، برنامهریزی سرمایهای و بودجهبندی را انجام دهند و سایر امور را مدیریت کنند.
این آسیبپذیری که با شناسه CVE-2025-0994 ردیابی میشود، یک مشکل عدم سریالسازی با شدت بالا (امتیاز ۸.۶ در CVSS v4.0) است که به کاربران احراز هویتشده امکان میدهد حملات اجرای کد از راه دور (RCE) را علیه سرورهای Microsoft Internet Information Services (IIS) مشتریان انجام دهند.
شرکت Trimble اعلام کرده است که گزارشهای مشتریان درباره دسترسی غیرمجاز هکرها به شبکههای آنها از طریق سوءاستفاده از این آسیبپذیری را بررسی کرده است، که نشان میدهد بهرهبرداری از این نقص در حال انجام است.
سوءاستفاده برای نفوذ به شبکهها
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک هشدار هماهنگ منتشر کرده است و به مشتریان هشدار داده که فوراً شبکههای خود را در برابر حملات ایمن کنند.
آسیبپذیری CVE-2025-0994 بر نسخههای Cityworks قبل از ۱۵٫۸٫۹ و نسخههای Cityworks همراه با Office Companion قبل از ۲۳٫۱۰ تأثیر میگذارد.
آخرین نسخهها، ۱۵٫۸٫۹ و ۲۳٫۱۰، به ترتیب در تاریخهای ۲۸ و ۲۹ ژانویه ۲۰۲۵ منتشر شدند.
مدیرانی که استقرارهای محلی (on-premise) را مدیریت میکنند، باید بهروزرسانی امنیتی را در اسرع وقت اعمال کنند، در حالی که نمونههای میزبانیشده در فضای ابری (CWOL) این بهروزرسانیها را بهطور خودکار دریافت خواهند کرد.
Trimble اعلام کرده است که برخی از استقرارهای محلی (on-premises) ممکن است دارای مجوزهای بیشازحد برای هویت IIS باشند و هشدار داده که اینها نباید با مجوزهای مدیریتی (Administrator) در سطح محلی (local) یا دامنه (domain) اجرا شوند.
علاوه بر این، برخی از استقرارها دارای پیکربندی نادرست برای دایرکتوری پیوستها هستند. فروشنده توصیه میکند که پوشههای ریشهی پیوستها فقط حاوی پیوستها باشند و هیچ محتوای دیگری در آنها قرار نگیرد.
پس از انجام هر سه اقدام، مشتریان میتوانند عملیات عادی خود را با Cityworks از سر بگیرند.
در حالی که CISA نحوهی سوءاستفاده از این آسیبپذیری را به اشتراک نگذاشته است، Trimble شاخصهای نفوذ (Indicators of Compromise – IoCs) مربوط به حملاتی که از این آسیبپذیری بهرهبرداری کردهاند را منتشر کرده است.
این شاخصهای نفوذ (IOCs) نشان میدهند که مهاجمان مجموعهای از ابزارهای دسترسی از راه دور، از جمله WinPutty و Cobalt Strike beacons را مستقر کردهاند.
مایکروسافت دیروز همچنین هشدار داد که مهاجمان با نفوذ به سرورهای IIS، بدافزارهایی را از طریق حملات تزریق کد ViewState مستقر میکنند، که در آنها از کلیدهای ماشین ASP.NET فاششده در اینترنت استفاده میشود.
