Уязвимость CVE-2025-0994 угрожает критической инфраструктуре

CVE-2025-0994 представляет собой серьезную уязвимость при десериализации в Trimble Cityworks, программном решении, используемом для управления активами и обработки заказов на выполнение работ местными органами власти и коммунальными службами в различных критически важных секторах инфраструктуры. Серьезность уязвимости подчеркивается тем, что злоумышленники, прошедшие проверку подлинности, могут воспользоваться ею для выполнения удаленного выполнения кода (RCE) на веб-сервере Microsoft Internet Information Services (IIS) на целевом сервере. Такая возможность создает существенный риск для основных служб, включая системы водоснабжения и водоотведения, распределения энергии, транспорта и связи. Использование CVE-2025-0994 показало, что злоумышленники используют сложные методы для доставки вредоносной полезной нагрузки. Общие индикаторы компрометации Trimble (IOCs) указывают на то, что пользовательские загрузчики на основе Rust используются для загрузки как VShell, так и Cobalt Strike в память скомпрометированных систем. В дополнение к этим действиям злоумышленники использовали запутанную полезную нагрузку JavaScript и дополнительные файлы, включая два неопознанных файла и три вредоносных исполняемых файла, для которых характерны рандомизированные буквенно-цифровые названия, такие как «fq1u4t83.exe .»Кроме того, было размещено два файла, предназначенных для выдачи себя за законные службы, а именно «winpty.dll» и «winpty-agent.exe.» Данные свидетельствуют о том, что эти вредоносные компоненты, вероятно, загружаются с серверов командования и контроля Cobalt Strike (C2), находящихся под контролем хакеров. IOCS, предоставленные Trimble, указывают конкретно на IP-адреса, связанные с инфраструктурой Cobalt Strike C2, в частности, на 192.210.239.172, используя порты 3219 и 4219 в качестве промежуточных точек в процессе атаки. Хотя точное подтверждение того, какие именно файлы были извлечены из инфраструктуры хакера, остается неясным, возможные варианты включают исполняемые файлы, генерирующие случайные имена в каталоге «%TEMP%», или запутанную полезную нагрузку JavaScript. Чтобы помочь defenders в выявлении любых потенциальных уязвимостей, Insikt Group разработала шаблон ядра, который можно использовать для тестирования экземпляров Trimble Cityworks, которые могут быть уязвимы для CVE-2025-0994, перед применением обновлений. Дополнительные ресурсы, предоставляемые системой Attack Surface Intelligence, могут помочь организациям в поиске подключенных к Интернету ресурсов, подверженных этой конкретной уязвимости, в то время как информация об уязвимостях обеспечивает дополнительный контекст для содействия эффективному исправлению ошибок и обсуждению приоритетности рисков. Это всестороннее понимание подчеркивает значительные риски, связанные с CVE-2025-0994, и подчеркивает важность бдительности при устранении уязвимостей в критически важных инфраструктурных средах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.