Microsoft IIS Cityworks RCE kihasználása

Hackerek egy súlyos biztonsági hibát kihasználva feltörték a Microsoft Internet Information Services (IIS) webkiszolgálókat, amelyek a Cityworks nevű vagyon- és munkarend kezelő szoftvert futtatják. A hibát, amelyet CVE-2025-0994 azonosítóval jelöltek és 8.6/10 súlyossági értékelést kapott, egy deszerializációs hiba okozza, amely lehetővé teszi a támadók számára, hogy távolról tetszőleges kódokat futtassanak az érintett szervereken. A Cityworks fejlesztője, a Trimble, a CISA-val (Amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség) együttműködésben bejelentette, hogy dolgoznak a hiba kijavításán, amelyet a következő szoftverfrissítésben tesznek elérhetővé.

Az érintett rendszerek közé tartoznak többek között amerikai városok, mint Greeley, Baltimore megye és Newport News, valamint kritikus infrastruktúrák, például a Sacramento Suburban Water District. Egy ilyen jellegű biztonsági rés kihasználása szolgáltatáskimaradásokat, adatvesztést és közbiztonsági kockázatokat eredményezhet. A Trimble különösen az on-premise (helyszíni) rendszereket használó ügyfeleknek javasolja a mielőbbi frissítést, míg a Cityworks Online (CWOL) felhasználók automatikusan megkapják a szükséges javításokat.

A vizsgálatok során a Trimble túlságosan széles jogosultságokat és gyanús fájlműveleteket azonosított több Cityworks telepítésben. Emellett a támadók eszközei között szerepelt a CobaltStrike és WinPutty trójai programok, valamint GoLang-alapú programok, amelyekkel távoli hozzáférést és irányítást (C2) alakítottak ki a fertőzött rendszereken. A Microsoft IIS szerverek továbbra is népszerű célpontok a támadók körében, mivel lehetőséget adnak rendszerszintű hozzáférés megszerzésére és további támadások indítására.

(forrás)