ソフトウェア・ベンダーのTrimble社は、ハッカーがCityworksのデシリアライゼーションの脆弱性を悪用し、リモートからIISサーバー上でコマンドを実行し、初期ネットワーク・アクセスのためにCobalt Strikeビーコンを展開していると警告している。
Trimble Cityworksは、地理情報システム(GIS)中心の資産管理および作業指示管理ソフトウェアで、主に地方自治体、公益事業、公共事業組織向けに設計されている。
この製品は、地方自治体やインフラストラクチャー機関の公共資産の管理、作業指示の処理、許認可の処理、資本計画、予算編成などを支援する。
CVE-2025-0994として追跡されているこの欠陥は、深刻度の高い(CVSS v4.0スコア:8.6)デシリアライゼーションの問題であり、認証されたユーザーが顧客のMicrosoft Internet Information Services(IIS)サーバーに対してRCE攻撃を実行することを可能にします。
Trimble は、ハッカーがこの不具合を利用して顧客のネットワークに不正アクセスしたという顧客からの報告を調査したと述べており、悪用が進行中であることを示しています。
ネットワーク侵入への悪用
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、攻撃からネットワークを直ちに保護するよう顧客に警告する協調勧告を発表した。
CVE-2025-0994の欠陥は、Cityworksの15.8.9より前のバージョンおよびCityworks with office companionの23.10より前のバージョンに影響する。
最新バージョンの15.8.9と23.10は、それぞれ2025年1月28日と29日に利用可能になった。
オンプレミスのデプロイメントを管理する管理者は、できるだけ早くセキュリティアップデートを適用する必要があるが、クラウドホストインスタンス(CWOL)は自動的にアップデートを受け取る。
Trimble社によると、一部のオンプレミス環境では、IISのID権限が過剰に与えられている可能性があり、ローカルまたはドメインレベルの管理者権限で実行しないよう警告している。
さらに、一部のデプロイメントでは、添付ファイルのディレクトリ構成が正しくない。ベンダは、添付ファイルのルートフォルダを制限して、添付ファイルのみを含めるようにすることを推奨している。
この3つの措置をすべて完了すると、顧客はCityworksによる通常業務を再開できる。
CISAは、この欠陥がどのように悪用されているかは公表していないが、Trimbleは、この脆弱性を悪用した攻撃に関するIOC(indicator of compromise)を公表している。
これらのIOCは、脅威行為者がWinPuttyやCobalt Strikeビーコンを含むリモートアクセス用の様々なツールを展開したことを示している。
またマイクロソフトは昨日、脅威者がIISサーバーに侵入し、ASP.NETマシンキーを使用したViewStateコードインジェクション攻撃でマルウェアを展開していると警告した。.NETマシンキーがオンラインで公開されている。
Comments