摘要：软件供应商 Trimble 发出警告，报告称已有证据表明，黑客利用 Cityworks 软件中的一个反序列化漏洞（CVE-2025-0994），远程攻击 IIS 服务器，并部署 Cobalt Strike 信标，以获取网络的初始访问权限。

IT之家 2 月 8 日消息，软件供应商 Trimble 发出警告，报告称已有证据表明，黑客利用 Cityworks 软件中的一个反序列化漏洞（CVE-2025-0994），远程攻击 IIS 服务器，并部署 Cobalt Strike 信标，以获取网络的初始访问权限。

美国网络安全和基础设施安全局（CISA）也发布了协调咨询，警告客户立即保护其网络免受攻击。

CISA 尚未分享该漏洞被利用的具体方式，但 Trimble 发布了攻击利用该漏洞的入侵指标 (IOC)。这些 IOC 表明，威胁行为者部署了包括 WinPutty 和 Cobalt Strike 信标等各种远程访问工具。微软也警告称，威胁行为者正在入侵 IIS 服务器。

IT之家简要介绍下 Cityworks，这是一款以地理信息系统（GIS）为中心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。

CVE-2025-0994 漏洞是一个高危的反序列化问题，CVSS v4.0 评分为 8.6。认证用户可以通过该漏洞对客户的 Microsoft Internet Information Services（IIS）服务器执行远程代码执行（RCE）攻击。

该漏洞影响 15.8.9 之前的 Cityworks 版本，以及 23.10 之前的带有 office companion 的 Cityworks 版本。

Trimble 已于 2025 年 1 月 28 日和 29 日分别发布了最新版本 15.8.9 和 23.10，管理本地部署的管理员必须尽快应用安全更新；云托管实例（CWOL）将自动推送更新。

来源：IT之家