Yazılım satıcısı Trimble, bilgisayar korsanlarının IIS sunucularında uzaktan komutları yürütmek ve ilk ağ erişimi için Kobalt Strike Beacons dağıtmak için bir CityWorks Desarizasyon Güvenlik Açığı’nı kullandıklarını uyarıyor.
Trimble CityWorks, öncelikle yerel yönetimler, kamu hizmetleri ve bayındırlık kuruluşları için tasarlanmış bir Coğrafi Bilgi Sistemi (CBS) merkezli Asset yönetimi ve iş siparişi yönetimi yazılımıdır.
Ürün, belediyelerin ve altyapı ajanslarının kamu varlıklarını yönetmelerine, iş emirlerini süreç, izin ve lisanslama, sermaye planlaması ve bütçelemeyi yönetmelerine yardımcı olur.
CVE-2025-0994 olarak izlenen kusur, kimlik doğrulamalı kullanıcıların bir müşterinin Microsoft Internet Bilgi Hizmetleri (IIS) sunucularına karşı RCE saldırıları gerçekleştirmesine izin veren yüksek bir şiddet (CVSS v4.0 puanı: 8.6) sealizasyon problemidir.
Trimble, bilgisayar korsanlarının kusurdan yararlanarak müşteri ağlarına yetkisiz erişim elde ettiği hakkında müşteri raporlarını araştırdığını ve bu da sömürünün devam ettiğini gösteriyor.
Ağları ihlal etmek için sömürülme
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ağlarını hemen saldırılardan korumak için koordineli bir danışma uyarısı müşterileri yayınladı.
CVE-2025-0994 Kusur, CityWorks sürümlerini 15.8.9’dan önce ve 23.10’dan önce Office Companion sürümleriyle CityWorks’ü etkiler.
En son sürümler, 15.8.9 ve 23.10, sırasıyla 28 ve 29 Ocak 2025’te sunuldu.
Şirket içi dağıtımları yöneten yöneticiler, Güvenlik Güncellemesini mümkün olan en kısa sürede uygulamalıdır, buluta sahip örnekler (CWOL) güncellemeleri otomatik olarak alacaktır.
Trimble, bazı şirket içi dağıtımların IIS kimlik izinlerini aşırı öngörebileceğini keşfettiğini ve bunların yerel veya alan düzeyinde idari ayrıcalıklarla çalışmaması gerektiğini söyledi.
Ayrıca, bazı dağıtımlarda yanlış ek dizin yapılandırmaları vardır. Satıcı, ek kök klasörlerinin yalnızca ekler içerecek şekilde kısıtlanmasını önerir.
Her üç eylemi de tamamladıktan sonra, müşteriler şehir işleri ile normal operasyonlara devam edebilir.
CISA, kusurun nasıl sömürüldüğünü paylaşmasa da, Trimble güvenlik açığından yararlanan saldırılar için uzlaşma göstergeleri yayınladı.
Bu IOC’ler, tehdit aktörlerinin Winputty ve Cobalt Strike Beacons da dahil olmak üzere uzaktan erişim için çeşitli araçlar uyguladığını göstermektedir.
Microsoft ayrıca dün tehdit aktörlerinin ASP kullanarak ViewState kodu enjeksiyon saldırılarına kötü amaçlı yazılım dağıtmak için IIS sunucularını ihlal ettikleri konusunda uyardı. Net makine tuşları çevrimiçi olarak maruz kaldı.