La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso riguardante una vulnerabilità di sicurezza che interessa il software di gestione delle risorse Trimble Cityworks. Questa vulnerabilità, identificata come CVE-2025-0994, presenta un punteggio di 8.6 secondo il Common Vulnerability Scoring System (CVSS v4) e riguarda la deserializzazione di dati non attendibili. Tale difetto potrebbe consentire a un attaccante di eseguire codice arbitrario da remoto.

Dettagli sulla vulnerabilità

La CISA ha specificato che la vulnerabilità potrebbe permettere a un utente autenticato di compiere un attacco di esecuzione di codice da remoto contro il server web Microsoft Internet Information Services (IIS) di un cliente. Le versioni colpite sono Cityworks (tutte le versioni precedenti alla 15.8.9) e Cityworks con office companion (tutte le versioni precedenti alla 23.10).

Nonostante Trimble abbia rilasciato patch per risolvere il problema il 29 gennaio 2025, la CISA ha avvertito che la vulnerabilità sta già venendo sfruttata in attacchi reali. L'azienda ha ricevuto rapporti su tentativi non autorizzati di accedere alle implementazioni di Cityworks di clienti specifici. Gli indicatori di compromissione (IoC) rilasciati da Trimble evidenziano che la vulnerabilità viene sfruttata per installare un loader basato su Rust che attiva Cobalt Strike e uno strumento di accesso remoto basato su Go chiamato VShell, oltre ad altri payload non identificati.

Non è ancora noto chi sia responsabile degli attacchi né quale sia l'obiettivo finale della campagna. Gli utenti delle versioni interessate del software sono invitati ad aggiornare le loro istanze alla versione più recente per garantire una protezione ottimale.

Misure correttive

In un bollettino separato, la CISA ha aggiunto la CVE-2025-0994 al suo catalogo Known Exploited Vulnerabilities (KEV), obbligando le agenzie del Federal Civilian Executive Branch (FCEB) a risolvere la falla entro il 28 febbraio 2025. La CISA incoraggia fortemente gli utenti e gli amministratori a cercare indicatori di compromissione e a applicare gli aggiornamenti e le soluzioni necessarie.