La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) advirtió que una rotura de seguridad que afecta el software de mandato de activos Centric de Trimble Cityworks ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-0994 (puntaje CVSS V4: 8.6), una deserialización del error de datos no confiable que podría permitir que un atacante realice la ejecución de código remoto.
“Esto podría permitir a un adjudicatario autenticado realizar un ataque de ejecución de código remoto contra el servidor web de información de información de Internet de Microsoft de Microsoft (IIS) de un cliente”, dijo CISA en un aviso con término del 6 de febrero de 2025.
El defecto afecta las siguientes versiones –
- CityWorks (todas las versiones anteriores a las 15.8.9)
- CityWorks con Office Companion (todas las versiones anteriores al 23.10)
Si proporcionadamente Trimble ha arrojado parches para afrontar el defecto de seguridad al 29 de enero de 2025, CISA advirtió que se está armando en ataques del mundo efectivo.
La compañía con sede en Colorado asimismo señaló que ha recibido informes de “intentos no autorizados para obtener llegada a implementaciones de CityWorks de clientes específicos”.
Los indicadores de compromiso (COI) lanzados por Trimble muestran que la vulnerabilidad se está explotando para soltar un cargador a cojín de óxido que aguijada Cobalt Strike y una utensilio de llegada remoto basada en GO llamamiento Vshell, entre otras cargas no identificadas.
Actualmente no se sabe quién está detrás de los ataques, y cuál es el objetivo final de la campaña. Se recomienda a los usuarios que ejecutan versiones afectadas del software que actualicen sus instancias a la última interpretación para una protección óptima.
