CISA警告称，黑客正在利用Trimble Cityworks

黑客正在利用一个被政府机构广泛使用的基础设施管理系统中的严重漏洞，该漏洞可使攻击者在微软 IIS Web 服务器上执行远程代码。

美国网络安全与基础设施安全局（CISA）命令联邦民用机构在 2 月 28 日前修复天宝（Trimble）公司的 Cityworks 平台中被追踪为 CVE-2025-0994 的严重漏洞。

根据天宝公司的网站介绍，Cityworks 服务器资产管理系统是 “一个以地理信息系统（GIS）为核心的解决方案，供地方政府、公用事业公司、机场和公共工程部门在整个生命周期内管理和维护基础设施”。黑客正在利用这一漏洞，引发了人们对关键服务可能受到干扰的担忧。

总部位于科罗拉多州的天宝公司披露了这一漏洞，并警告用户存在远程代码执行攻击的风险。该漏洞源于一个反序列化漏洞，这使得威胁行为者能够未经授权访问系统并部署恶意负载。

美国网络安全与基础设施安全局将该漏洞列入了其已知被利用漏洞目录，敦促管理员立即安装安全更新，并检查系统是否存在被入侵的迹象。

天宝公司的调查证实，存在未经授权试图入侵特定 Cityworks 部署系统的行为。一些本地安装的系统存在 IIS 身份权限过高以及附件目录配置错误的问题。

此次安全公告突出了多个入侵指标（IOC），包括恶意文件的 SHA256 哈希值、暂存 IP 地址以及 Cobalt Strike（一款渗透测试工具）的命令与控制域名。

攻击者正在使用经过混淆处理的 JavaScript 有效负载和基于 Rust 语言的恶意软件加载器，以便在被攻陷的服务器上保持持久控制。

建议使用 Cityworks 系统的联邦机构和地方政府采取以下措施：

1.分别为 15.x（15.8.9 版本）和 23.x（23.10 版本）应用最新补丁，这两个版本的补丁分别于 1 月 28 日和 29 日发布。

2.检查 IIS 身份权限，确保其不具备域或本地管理员权限。

3.限制附件目录的访问权限，以防止未经授权的修改。