微軟示警：有黑客利用 Cityworks RCE 漏洞攻擊 IIS 服務(wù)器

IT之家 2 月 8 日消息，軟件供應(yīng)商 Trimble 發(fā)出警告，報(bào)告稱(chēng)已有證據(jù)表明，黑客利用 Cityworks 軟件中的一個(gè)反序列化漏洞（CVE-2025-0994），遠(yuǎn)程攻擊 IIS 服務(wù)器，并部署 Cobalt Strike 信標(biāo)，以獲取網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也發(fā)布了協(xié)調(diào)咨詢，警告客戶立即保護(hù)其網(wǎng)絡(luò)免受攻擊。

CISA 尚未分享該漏洞被利用的具體方式，但 Trimble 發(fā)布了攻擊利用該漏洞的入侵指標(biāo) (IOC)。這些 IOC 表明，威脅行為者部署了包括 WinPutty 和 Cobalt Strike 信標(biāo)等各種遠(yuǎn)程訪問(wèn)工具。微軟也警告稱(chēng)，威脅行為者正在入侵 IIS 服務(wù)器。

IT之家簡(jiǎn)要介紹下 Cityworks，這是一款以地理信息系統(tǒng)（GIS）為中心的資產(chǎn)管理和工單管理軟件，主要面向地方政府、公用事業(yè)和公共工程組織。

CVE-2025-0994 漏洞是一個(gè)高危的反序列化問(wèn)題，CVSS v4.0 評(píng)分為 8.6。認(rèn)證用戶可以通過(guò)該漏洞對(duì)客戶的 Microsoft Internet Information Services（IIS）服務(wù)器執(zhí)行遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。

該漏洞影響 15.8.9 之前的 Cityworks 版本，以及 23.10 之前的帶有 office companion 的 Cityworks 版本。

Trimble 已于 2025 年 1 月 28 日和 29 日分別發(fā)布了最新版本 15.8.9 和 23.10，管理本地部署的管理員必須盡快應(yīng)用安全更新；云托管實(shí)例（CWOL）將自動(dòng)推送更新。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。