微軟發布重大示警：黑客利用Cityworks RCE漏洞攻擊IIS服務器風險加劇

2月8日消息，知名軟件供應商Trimble發布了嚴肅警告。據相關報告顯示，現已有確鑿證據表明，某些不法黑客正利用Cityworks軟件中存在的反序列化漏洞（CVE - 2025 - 0994），對IIS服務器展開遠程攻擊。攻擊得手后，他們還能進一步部署Cobalt Strike信標，以此方式獲取網絡系統的初始訪問權限，給網絡安全帶來極大威脅。

美國網絡安全和基礎設施安全局（CISA）也發布了協調咨詢，警告客戶立即保護其網絡免受攻擊。

CISA 尚未分享該漏洞被利用的具體方式，但 Trimble 發布了攻擊利用該漏洞的入侵指標 (IOC)。這些 IOC 表明，威脅行為者部署了包括 WinPutty 和 Cobalt Strike 信標等各種遠程訪問工具。微軟也警告稱，威脅行為者正在入侵 IIS 服務器。

簡要介紹下 Cityworks，這是一款以地理信息系統（GIS）為中心的資產管理和工單管理軟件，主要面向地方**、公用事業和公共工程組織。

CVE-2025-0994 漏洞是一個高危的反序列化問題，CVSS v4.0 評分為 8.6。認證用戶可以通過該漏洞對客戶的 Microsoft Internet Information Services（IIS）服務器執行遠程代碼執行（RCE）攻擊。

該漏洞影響 15.8.9 之前的 Cityworks 版本，以及 23.10 之前的帶有 office companion 的 Cityworks 版本。

Trimble 已于 2025 年 1 月 28 日和 29 日分別發布了最新版本 15.8.9 和 23.10，管理本地部署的管理員必須盡快應用安全更新；云托管實例（CWOL）將自動推送更新。