CISA警告称,黑客正在利用Trimble Cityworks

admin 2025年2月13日23:02:01评论20 views字数 844阅读2分48秒阅读模式

CISA警告称,黑客正在利用Trimble Cityworks

关键词

网络安全

CISA警告称,黑客正在利用Trimble Cityworks

黑客正在利用一个被政府机构广泛使用的基础设施管理系统中的严重漏洞,该漏洞可使攻击者在微软 IIS Web 服务器上执行远程代码。

美国网络安全与基础设施安全局(CISA)命令联邦民用机构在 2 月 28 日前修复天宝(Trimble)公司的 Cityworks 平台中被追踪为 CVE-2025-0994 的严重漏洞。

根据天宝公司的网站介绍,Cityworks 服务器资产管理系统是 “一个以地理信息系统(GIS)为核心的解决方案,供地方政府、公用事业公司、机场和公共工程部门在整个生命周期内管理和维护基础设施”。黑客正在利用这一漏洞,引发了人们对关键服务可能受到干扰的担忧。

总部位于科罗拉多州的天宝公司披露了这一漏洞,并警告用户存在远程代码执行攻击的风险。该漏洞源于一个反序列化漏洞,这使得威胁行为者能够未经授权访问系统并部署恶意负载。

美国网络安全与基础设施安全局将该漏洞列入了其已知被利用漏洞目录,敦促管理员立即安装安全更新,并检查系统是否存在被入侵的迹象。

天宝公司的调查证实,存在未经授权试图入侵特定 Cityworks 部署系统的行为。一些本地安装的系统存在 IIS 身份权限过高以及附件目录配置错误的问题。

此次安全公告突出了多个入侵指标(IOC),包括恶意文件的 SHA256 哈希值、暂存 IP 地址以及 Cobalt Strike(一款渗透测试工具)的命令与控制域名。

攻击者正在使用经过混淆处理的 JavaScript 有效负载和基于 Rust 语言的恶意软件加载器,以便在被攻陷的服务器上保持持久控制。

建议使用 Cityworks 系统的联邦机构和地方政府采取以下措施:

1.分别为 15.x(15.8.9 版本)和 23.x(23.10 版本)应用最新补丁,这两个版本的补丁分别于 1 月 28 日和 29 日发布。

2.检查 IIS 身份权限,确保其不具备域或本地管理员权限。

3.限制附件目录的访问权限,以防止未经授权的修改。

  END  

原文始发于微信公众号(安全圈):【安全圈】CISA警告称,黑客正在利用Trimble Cityworks

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月13日23:02:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISA警告称,黑客正在利用Trimble Cityworkshttps://cn-sec.com/archives/3738199.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息