Хакеры используют правительственные программы для доступа к конфиденциальным серверам

Компания Trimble предупреждает о злоупотреблении Cityworks в атаках с удаленным выполнением кода (RCE). Компания выпустила исправление для решения проблемы. CISA призывает пользователей установить патч как можно скорее.

Эксперты предупредили, что хакеры используют правительственные программные продукты для доступа к чувствительным серверам. Предупреждение исходит от компании-разработчика Trimble, чьи продукты были использованы в атаке.

В письме клиентам и партнерам Trimble сообщила о наблюдении за злоумышленниками, которые эксплуатировали уязвимость десериализации в своем продукте Cityworks для проведения атак с удаленным выполнением кода (RCE) и размещения букашек Cobalt Strike на серверах Microsoft Internet Information Services (IIS).

Trimble Cityworks — это программное обеспечение управления активами и лицензий, основанное на географических информационных системах (GIS), которое помогает местным органам власти и утилитарным компаниям эффективно управлять инфраструктурой, обслуживанием и операциями. Продукт был обнаружен с уязвимостью CVE-2025-0994 — высокозначительной ошибкой десериализации, позволяющей выполнение удаленного кода с рейтингом серьезности 8,6 (высокий).

Чтобы исправить эту проблему, Trimble обновила Cityworks версии 15.x до версии 15.8.9 и версии 23.x до версии 23.10. Компания также предупредила о том, что у некоторых локальных развертываний были излишне широкие права доступа для IIS-идентификации, а некоторые конфигурации каталогов вложений были неправильными.

Все эти проблемы необходимо решить одновременно, чтобы минимизировать угрозы и вернуться к обычной работе с Cityworks. Неизвестно масштаб атаки или если какие-либо организации пострадали от нее, но Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпустило совместное предупреждение, призывая клиентов установить патчи как можно скорее.

«CISA напоминает организациям о необходимости проведения правильного анализа влияния и оценки рисков перед внедрением защитных мер», — говорится в предупреждении. «Организации, обнаружившие подозрительную активность, должны следовать установленным внутренним процедурам и сообщать о своих находках CISA для отслеживания и корреляции с другими инцидентами».