黑客入侵微软IIS服务器，美国多地政府及公用机构受影响

Trimble Cityworks 软件存在高危漏洞（CVE-2025-0994），被黑客利用来远程攻击 IIS 服务器并部署恶意工具，以获取网络访问权限，影响多地政府和公用事业机构。

软件供应商 Trimble 警告称，黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令，并部署 Cobalt Strike 信标以获取初始网络访问权限。

Trimble Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。

该漏洞被追踪为 CVE-2025-0994，是一个高严重性（CVSS v4.0 评分为 8.6）的反序列化问题，允许经过身份验证的用户对客户的微软互联网信息服务（IIS）服务器执行远程代码攻击。

Trimble 表示，已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告，表明该漏洞正在被积极利用。

美国网络安全和基础设施安全局（CISA）已发布协调公告，警告客户立即保护其网络免受攻击。

CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。

最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。

管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。

Trimble 警告称，一些本地部署可能具有过度特权的 IIS 身份权限，这些权限不应以本地或域级管理员权限运行。此外，一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。

在完成上述所有三个操作后，客户可以恢复 Cityworks 的正常运行。

虽然 CISA 尚未分享该漏洞的利用方式，但 Trimble 已发布利用该漏洞的攻击的入侵指标（IOC）。这些 IOC 表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。

微软还于昨日警告称，威胁行为者正在利用在线暴露的 ASP.NET 机器密钥，通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://www.bleepingcomputer.com/news/security/hackers-exploit-cityworks-rce-bug-to-breach-microsoft-iis-servers/

原文始发于微信公众号（安全威胁纵横）：黑客入侵微软IIS服务器，美国多地政府及公用机构受影响