La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) advirtió que una falla de seguridad que afecta a Trimble Cityworks El software de gestión de activos centrado en SIG ha sido de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-0994 (puntaje CVSS V4: 8.6), una deserialización del error de datos no confiable que podría permitir que un atacante realice la ejecución de código remoto.
“Esto podría permitir a un usuario autenticado realizar un ataque de ejecución de código remoto contra el servidor web de información de Internet de Microsoft de Microsoft (IIS) de un cliente”, CISA dicho en un aviso con fecha del 6 de febrero de 2025.
El defecto afecta las siguientes versiones –
- CityWorks (todas las versiones anteriores a las 15.8.9)
- CityWorks con Office Companion (todas las versiones anteriores al 23.10)
Si bien Trimble ha lanzado parches para abordar el defecto de seguridad al 29 de enero de 2025, CISA advirtió que se está armando en ataques del mundo real.
La compañía con sede en Colorado también señaló que ha recibido informes de “intentos no autorizados para obtener acceso a implementaciones de CityWorks de clientes específicos”.
Indicadores de compromiso (COI) liberado por Trimble, muestre que la vulnerabilidad se está explotando para soltar un cargador a base de óxido que lanza Cobalt Strike y una herramienta de acceso remoto basado en GO nombrado Vshellentre otras cargas útiles no identificadas.
Actualmente no se sabe quién está detrás de los ataques, y cuál es el objetivo final de la campaña. Se recomienda a los usuarios que ejecutan versiones afectadas del software que actualicen sus instancias a la última versión para una protección óptima.
About the Author
