警惕黑客利用Cityworks软件高危漏洞进行网络攻击 CISA发出紧急警告

近期，软件供应商Trimble发出紧急警告，指出黑客正在积极利用其开发的Cityworks软件中的一个高危反序列化漏洞（CVE-2025-0994）。美国网络安全和基础设施安全局（CISA）随即对这一情况作出了反应，发布了协调咨询，提醒用户及时采取防御措施，保护其网络免受可能的攻击。

漏洞概述

CVE-2025-0994是一个严重的安全漏洞，经过评估，其CVSS v4.0评分高达8.6，意味着该漏洞的利用可能导致严重的后果。该漏洞允许经过认证的用户通过反序列化问题，对运行在Microsoft Internet Information Services（IIS）服务器上的Cityworks实例进行远程代码执行(RCE)攻击。

Cityworks是一款以地理信息系统（GIS）为中心的资产管理和工单管理软件，主要面向地方、公用事业和公共工程组织。它为用户提供了强大的工具，帮助有效管理和维护公共资产，确保服务的可靠性和效率。随着黑客技术的发展，这一工具也成为了攻击者的目标。

漏洞影响的版本

根据Trimble提供的信息，受此漏洞影响的Cityworks版本包括在15.8.9之前的所有版本，以及在23.10之前的所有安装了office companion的版本。这使得各地使用Cityworks软件的公共机构面临着潜在的安全威胁。为了应对这一漏洞，Trimble在2025年1月28日和29日分别发布了最新的Cityworks版本15.8.9和23.10。使用这些软件的管理员需迅速采取行动，尽快更新到安全版本。

威胁行为者的活动

CISA虽然尚未披露该漏洞被利用的具体细节，但Trimble已公布了一些入侵指标（IOC），提供了对威胁行为者活动的初步了解。这些IOC表明攻击者可能已使用包括WinPutty和Cobalt Strike信标在内的多种远程访问工具，这些工具可以帮助他们在被攻击的网络中建立持久性访问。

微软也对此情况发表了警告，指出威胁行为者正在针对IIS服务器进行入侵，这表明攻击的可能性不仅仅限于Cityworks，其他依赖相同的应用和服务也可能受到影响。因此，各企业和组织必须提高警惕，采取相应的防护措施。

安全防护措施

为了应对这一高危漏洞，CISA和Trimble建议所有使用Cityworks软件的组织应立即采取以下措施：

1. 更新软件：尽快将Cityworks更新到最新版本，确保应用了所有安全补丁和更新。对于本地部署的版本，管理员应手动检查并安装更新。

2. 监控网络活动：定期监控网络中的异常活动，特别是涉及IIS服务器和Cityworks应用的访问模式。及时识别和响应可疑行为。

3. 使用安全工具：部署入侵检测系统（IDS）和入侵防御系统（IPS），能够帮助识别和阻止潜在的攻击活动。

4. 实施网络隔离：对网络中的关键系统进行隔离，确保即使某部分发生攻击，也能限制其影响范围。

5. 员工：定期进行安全意识，增强员工的网络安全意识，使他们能够识别潜在的钓鱼攻击和社会工程攻击。

6. 备份数据：定期备份关键数据，确保在受到攻击后可以迅速恢复正常的业务运营。

随着网络攻击手法的日益复杂，组织需要不断提升网络安全防护能力，以应对潜在的威胁。尤其是在黑客开始利用诸如Cityworks软件中的高危漏洞进行攻击之际，各地公共单位和企业务必要提高警惕，执行相关的安全措施，确保其网络环境的安全。

在未来的日子里，相关机构应持续关注漏洞信息的更新，与软件供应商保持沟通，确保及时获取安全补丁及应对措施，并做好充分的准备，以降低网络攻击带来的风险。确保在面对不断演变的网络威胁时，可以迅速采取行动，保护组织的数据和资产不受侵害。