【安全资讯】黑客利用Cityworks RCE漏洞攻击微软IIS服务器

概要：

近期，Trimble公司警告称，黑客正在利用Cityworks软件中的反序列化漏洞，远程执行命令并入侵微软IIS服务器。此事件对地方政府和公共事业组织的网络安全构成了严重威胁，要求相关机构迅速采取防护措施。

主要内容：

黑客利用的漏洞被追踪为CVE-2025-0994，属于高危级别（CVSS v4.0评分：8.6），允许经过身份验证的用户对客户的微软IIS服务器进行远程代码执行（RCE）攻击。Trimble公司表示，已收到客户报告，确认黑客通过该漏洞获得了未授权的网络访问权限，表明攻击正在进行中。

美国网络安全和基础设施安全局（CISA）已发布协调性警告，敦促客户立即加强网络安全。受影响的Cityworks版本包括15.8.9之前的版本以及23.10之前的Office Companion版本。Trimble建议，管理本地部署的管理员应尽快应用安全更新，而云托管实例将自动接收更新。

此外，Trimble发现某些本地部署可能存在过高的IIS身份权限，警告这些部署不应以本地或域级管理员权限运行。同时，一些部署存在错误的附件目录配置。Trimble建议限制附件根文件夹，仅包含附件。完成这些措施后，客户可恢复正常操作。虽然CISA尚未透露该漏洞的具体利用方式，但Trimble已发布了与攻击相关的妥协指标，显示威胁行为者使用了多种远程访问工具，包括WinPutty和Cobalt Strike信标。