ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Trimble Cityworks CBIS merkezli varlık yönetimi yazılımını etkileyen bir güvenlik kusurunun vahşi doğada aktif sömürü altında olduğu konusunda uyardı.
Söz konusu güvenlik açığı CVE-2025-0994’tür (CVSS V4 Skoru: 8.6), bir saldırganın uzaktan kod yürütmesine izin verebilecek güvenilmeyen veri hatasının çelişkisidir.
CISA, 6 Şubat 2025 tarihli bir danışmada, “Bu, kimlik doğrulamalı bir kullanıcının bir müşterinin Microsoft Internet Bilgi Hizmetleri (IIS) web sunucusuna karşı uzaktan kod yürütme saldırısı gerçekleştirmesine izin verebilir.” Dedi.
Kusur aşağıdaki sürümleri etkiler –
- CityWorks (15.8.9’dan önceki tüm sürümler)
- Office Companion ile Şehir İşleri (23.10’dan önce tüm versiyonlar)
Trimble, 29 Ocak 2025 itibariyle güvenlik kusurunu ele almak için yamalar yayınlarken, CISA bunun gerçek dünya saldırılarında silahlandırıldığı konusunda uyardı.
Colorado merkezli şirket, “belirli müşterilerin şehir işleri dağıtımlarına erişmek için yetkisiz girişimler” hakkında raporlar aldığını belirtti.
Trimble tarafından yayınlanan uzlaşma göstergeleri (IOCS), diğer tanımlanamayan yüklerin yanı sıra, Cobalt Strike’ı başlatan pas tabanlı bir yükleyiciyi ve Vshell adlı Go tabanlı bir uzaktan erişim aracı bırakmak için güvenlik açığının kullanıldığını göstermektedir.
Şu anda saldırıların arkasında kimin olduğu ve kampanyanın nihai hedefinin ne olduğu bilinmemektedir. Yazılımın etkilenen sürümlerini çalıştıran kullanıcıların, optimal koruma için örneklerini en son sürüme güncellemeleri önerilir.