0-day в Cityworks: хакеры атакуют инфраструктуру городов

В программном обеспечении Trimble Cityworks выявлена уязвимость Zero-Day, позволяющая выполнить удаленный код на веб-серверах Microsoft IIS. По данным CISA, уязвимость уже используется в реальных атаках.

Cityworks — это GIS-ориентированное решение, применяемое муниципальными органами, аэропортами, коммунальными службами и другими организациями для управления инфраструктурой. Продукт используется по всему миру, что делает его привлекательной целью для киберпреступников.

В результате успешной эксплуатации уязвимости CVE-2025-0994 (оценка CVSS: 8.6) злоумышленник с учетной записью в системе может получить полный контроль над сервером, на котором развернуто ПО Cityworks. Проблема связана с десериализацией недоверенных данных ( CWE-502 ) и затрагивает все версии Cityworks до 15.8.9, а также Cityworks с Office Companion до 23.10.

CISA выпустило предупреждение в связи с эксплуатацией уязвимости в промышленном секторе. Однако в отчете указано, что Cityworks не контролирует промышленные процессы напрямую, что исключает принадлежность программы к ICS-системам. По данным Trimble, злоумышленники использовали CVE-2025-0994 для доставки Cobalt Strike и других вредоносных программ, название которых пока не раскрывается, что указывает на сложные целевые атаки, направленные против определенных организаций.

Информация о том, кто стоит за атаками, остается неизвестной. Однако в Trimble получили сообщения о попытках несанкционированного доступа к конкретным развертываниям Cityworks. Учитывая профиль пользователей программного обеспечения, можно предположить, что атаки были направлены на критически важные инфраструктурные объекты.

Trimble уже выпустила обновления для Cityworks 15.8.9 и Cityworks 23.10. Облачные пользователи Cityworks Online получат исправления автоматически, а организациям с локальными развертываниями настоятельно рекомендуется обновить ПО вручную. Также рекомендуется пересмотреть права IIS, так как в некоторых случаях они оказываются избыточными, что может усугубить угрозу.

CISA напоминает об общем наборе мер по защите систем: проверка конфигурации директории вложений, минимизация прав доступа IIS и развертывание обновлений. Агентство также призывает компании усиливать киберзащиту, следуя принципам защиты в глубину и реализовывая стратегии обнаружения вторжений.

ИБ-специалисты рекомендуют пользователям Trimble Cityworks как можно быстрее обновить систему и проверить журналы на предмет возможных подозрительных действий. В случае выявления аномалий рекомендуется следовать внутренним протоколам безопасности и сообщать об инцидентах в CISA.