Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah memperingatkan bahwa cacat keamanan yang berdampak pada Trimble Cityworks Software Manajemen Asset-Centric Asset telah berada di bawah eksploitasi aktif di alam liar.
Kerentanan yang dimaksud adalah CVE-2025-0994 (skor CVSS V4: 8.6), deserialisasi bug data yang tidak dipercaya yang dapat memungkinkan penyerang untuk melakukan eksekusi kode jarak jauh.
“Ini dapat memungkinkan pengguna yang diautentikasi untuk melakukan serangan eksekusi kode jarak jauh terhadap server web Layanan Informasi Internet Microsoft (IIS) pelanggan,” kata CISA dalam penasihat tertanggal 6 Februari 2025.
Cacat mempengaruhi versi berikut –
- CityWorks (semua versi sebelum 15.8.9)
- CityWorks With Office Companion (semua versi sebelum 23.10)
Sementara Trimble telah merilis tambalan untuk mengatasi cacat keamanan pada 29 Januari 2025, CISA telah memperingatkan bahwa itu sedang dipersenjatai dalam serangan dunia nyata.
Perusahaan yang bermarkas di Colorado juga mencatat bahwa mereka telah menerima laporan “upaya tidak sah untuk mendapatkan akses ke penyebaran pekerjaan kota tertentu.”
Indikator kompromi (IOC) yang dirilis oleh Trimble menunjukkan bahwa kerentanan sedang dieksploitasi untuk menjatuhkan loader berbasis karat yang meluncurkan Cobalt Strike dan alat akses jarak jauh berbasis GO bernama Vshell, di antara muatan yang tidak dikenal lainnya.
Saat ini tidak diketahui siapa yang berada di balik serangan itu, dan apa tujuan akhir kampanye ini. Pengguna yang menjalankan versi yang terpengaruh dari perangkat lunak disarankan untuk memperbarui contoh mereka ke versi terbaru untuk perlindungan optimal.
