CISA Warns of Active Exploits Targeting Trimble Cityworks Vulnerability
2025/02/07 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、Trimble Cityworks GIS-centric 資産管理ソフトウェアに影響を及ぼすキュリティ上の欠陥が、実際に悪用されているという警告と、Known Exploited Vulnerability (KEV) カタログへの登録である。
問題の脆弱性 CVE-2025-0994 (CVSS v4:8.6) は、信頼できないデータに対するデシリアライゼーションに起因し、攻撃者に対してリモート・コード実行の可能性を提供してしまう。
2025年2月6日付けの勧告には、「この脆弱性の悪用に成功した認証済の攻撃者は、Microsoft IIS Web サーバに対して、リモート・コード実行攻撃を仕掛ける可能性を手にする」と記されている。
この脆弱性は以下のバージョンに影響を及ぼす:
- Cityworks バージョン 15.8.9 未満
- Cityworks with Office Companion バージョン 23.10 未満
2025年1月29日の時点で、すでに Trimble はパッチをリリースし、このセキュリティ欠陥に対処している。その一方で CISA は、実際の攻撃で脆弱性 CVE-2025-0994 が、武器化されていると警告している。
コロラド州に本社を置く Trimble は、「特定の顧客の Cityworks デプロイメントに対する、不正アクセスの試みの報告を受けている」と述べている。
Trimble が公開した Indicators of compromise (IoCs) によると、この脆弱性の悪用の結果として、Cobalt Strike を起動する Rust ベースのローダーや、VShell という Go ベースのリモート・アクセス・ツールに加えて、未確認のペイロードのドロップが判明している。
現時点において、一連の攻撃を背後で操っている人物や、キャンペーンの最終的な目標は不明である。影響を受けるバージョンのソフトウェアを実行している、ユーザーに対して強く推奨されるのは、インスタンスを最新バージョンに更新し、最適な保護を行うことである。
Trimble Cityworks の RCE 脆弱性が、CISAの KEV カタログに追加されました。この脆弱性は、すでに攻撃に利用されていることが確認されています。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.