La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) advirtió que una falla de seguridad que afecta el software de gestión de activos Centric de Trimble Cityworks ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-0994 (puntaje CVSS V4: 8.6), una deserialización del error de datos no confiable que podría permitir que un atacante realice la ejecución de código remoto.
«Esto podría permitir a un usuario autenticado realizar un ataque de ejecución de código remoto contra el servidor web de información de información de Internet de Microsoft de Microsoft (IIS) de un cliente», dijo CISA en un aviso con fecha del 6 de febrero de 2025.
El defecto afecta las siguientes versiones –
- CityWorks (todas las versiones anteriores a las 15.8.9)
- CityWorks con Office Companion (todas las versiones anteriores al 23.10)
Si bien Trimble ha lanzado parches para abordar el defecto de seguridad al 29 de enero de 2025, CISA advirtió que se está armando en ataques del mundo real.
La compañía con sede en Colorado también señaló que ha recibido informes de «intentos no autorizados para obtener acceso a implementaciones de CityWorks de clientes específicos».
Los indicadores de compromiso (COI) lanzados por Trimble muestran que la vulnerabilidad se está explotando para soltar un cargador a base de óxido que lanza Cobalt Strike y una herramienta de acceso remoto basada en GO llamada Vshell, entre otras cargas no identificadas.
Actualmente no se sabe quién está detrás de los ataques, y cuál es el objetivo final de la campaña. Se recomienda a los usuarios que ejecutan versiones afectadas del software que actualicen sus instancias a la última versión para una protección óptima.