黑客利用 Cityworks RCE 漏洞入侵 Microsoft IIS 服务器

admin 2025年2月8日12:58:11评论19 views字数 1124阅读3分44秒阅读模式

导 

软件供应商 Trimble 警告(https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/)称,黑客正在利用 Cityworks 反序列化漏洞在 IIS 服务器上远程执行命令并部署 Cobalt Strike 信标以进行初始网络访问。

黑客利用 Cityworks RCE 漏洞入侵 Microsoft IIS 服务器

Trimble Cityworks 是一款以地理信息系统 (GIS) 为中心的资产管理和工单管理软件,主要面向地方政府、公用事业和公共工程组织设计。

该产品可帮助市政当局和基础设施机构管理公共资产、处理工作订单、办理许可和执照、资本规划和预算等。

该漏洞的编号为CVE-2025-0994,是一个高严重性(CVSS v4.0 评分:8.6)反序列化问题,允许经过身份验证的用户对客户的 Microsoft Internet 信息服务 (IIS) 服务器执行 RCE 攻击。

Trimble表示,已经调查了客户关于黑客利用该漏洞未经授权访问客户网络的报告,这表明攻击正在进行中。

美国网络安全和基础设施安全局 (CISA) 发布了一份协调咨询报告(https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04),警告客户立即保护其网络免受攻击。

CVE-2025-0994 漏洞影响 15.8.9 之前的 Cityworks 版本以及 23.10 之前的 Cityworks 办公配套版本。

最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。

管理员必须尽快应用安全更新,而云托管实例(CWOL)将自动接收更新。

Trimble 表示,它发现一些内部部署可能具有过度特权的 IIS 身份权限,并警告这些部署不应以本地或域级管理权限运行。

此外,一些部署的附件目录配置不正确。供应商建议限制附件根文件夹仅包含附件。

完成所有三个操作后,客户即可恢复 Cityworks 的正常运营。

虽然 CISA 尚未透露该漏洞是如何被利用的,但 Trimble 已经发布了利用该漏洞进行攻击的危害指标。

这些 IOC 表明威胁行为者部署了各种远程访问工具,包括 WinPutty 和 Cobalt Strike 信标。

新闻链接:

https://www.bleepingcomputer.com/news/security/hackers-exploit-cityworks-rce-bug-to-breach-microsoft-iis-servers/

黑客利用 Cityworks RCE 漏洞入侵 Microsoft IIS 服务器

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):黑客利用 Cityworks RCE 漏洞入侵 Microsoft IIS 服务器

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月8日12:58:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 Cityworks RCE 漏洞入侵 Microsoft IIS 服务器http://cn-sec.com/archives/3713994.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息