Компания Trimble уведомила клиентов Cityworks о выпуске срочных обновлений безопасности для устранения критической уязвимости (CVE-2025-0994) в программном обеспечении Cityworks 15.x и 23.x. Обновления доступны для загрузки с 28 и 29 января 2025 года соответственно.
Подробности уязвимости:
В ходе расследования было обнаружено, что внешние злоумышленники могли использовать десериализацию для удаленного выполнения команд (RCE) на IIS-серверах клиентов Cityworks. Для защиты рекомендуется немедленно обновить ПО до последних версий.Выявленные проблемы:
- RCE через IIS: Эксплуатация уязвимости с помощью вредоносного JavaScript и загрузчиков на базе Rust и Cobalt Strike.
- Права доступа IIS: Обнаружены избыточные права доступа IIS на некоторых локальных развертываниях. Клиентам рекомендуется удалить привилегии локального и доменного администратора.
- Неправильная конфигурация директорий: Рекомендуется ограничить каталоги вложений исключительно папками, содержащими вложения.
IOC (индикаторы компрометации):
- Вредоносные файлы и загрузчики (fq1u4t83.exe, z1.exe и другие).
- Внешние IP-адреса (192.210.239.172:3219, 23.247.136.238) и домены (cdn.phototagx[.]com, ifode[.]xyz).
- Веб-адреса с командными серверами управления (Cobalt Strike C2).
Рекомендации пользователям:
- Установите последние обновления для Cityworks через Support Portal.
- Проверьте и скорректируйте права доступа IIS.
- Настройте каталоги вложений согласно техническим требованиям.
