ผู้จำหน่ายซอฟต์แวร์ Trimble ได้ออกมาแจ้งเตือนการค้นพบ Hacker กำลังใช้ช่องโหว่ Deserialization บน Cityworks เพื่อโจมตี และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลผ่าน IIS servers รวมถึงติดตั้ง Cobalt Strike beacon เพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย
Trimble Cityworks เป็นซอฟต์แวร์การจัดการสินทรัพย์ และการจัดการใบสั่งงานที่เน้นไปที่ระบบสารสนเทศภูมิศาสตร์ (GIS) ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับรัฐบาลท้องถิ่น สาธารณูปโภค และองค์กรโยธาธิการ
โดยช่วยให้เทศบาล และหน่วยงานโครงสร้างพื้นฐานจัดการสินทรัพย์สาธารณะ ประมวลผลคำสั่งงาน จัดการการอนุญาต และใบอนุญาต การวางแผนด้านทุน และการจัดทำงบประมาณ รวมถึงงานในด้านอื่น ๆ อีกด้วย
CVE-2025-0994 (คะแนนCVSS 8.6 ความรุนแรงระดับ High) เป็นช่องโหว่ Deserialization ที่ทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Internet Information Services (IIS) ได้ โดยส่งผลกระทบต่อ Cityworks เวอร์ชันก่อน 15.8.9 และ Cityworks ที่มีเวอร์ชัน Office Companion ก่อน 23.10
Trimble ระบุว่า บริษัทได้ทำการตรวจสอบรายงานของลูกค้าเกี่ยวกับ Hacker ที่สามารถเข้าถึงเครือข่ายของลูกค้าได้โดยไม่ได้รับอนุญาตโดยใช้ช่องโหว่ดังกล่าว ซึ่งแสดงให้เห็นว่ากำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าวอยู่
Trimble ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ในเวอร์ชันล่าสุด 15.8.9 และ 23.10 ซึ่งเปิดตัวเมื่อวันที่ 28 และ 29 มกราคม 2025 ตามลำดับ
การโจมตีโดยใช้ช่องโหว่ CVE-2025-0994 เพื่อเข้าสู่ระบบของเป้าหมาย
สำนักงานความปลอดภัยโครงสร้างพื้นฐาน และความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ได้ออกคำแนะนำแจ้งเตือนให้ผู้ใช้งานรักษาความปลอดภัยเครือข่ายจากช่องโหว่ดังกล่าวโดยด่วน
ผู้ดูแลระบบที่จัดการการระบบ on-premise จะต้องทำการอัปเดตด้านความปลอดภัยโดยเร็วที่สุด ในขณะที่อินสแตนซ์ที่โฮสต์บนคลาวด์ (CWOL) จะได้รับการอัปเดตโดยอัตโนมัติ
Trimble ระบุว่าได้ค้นพบว่าการจัดการระบบ on-premise บางส่วนอาจมีสิทธิ์ของ IIS identity permissions ที่มากเกินไป โดยได้เตือนว่าระบบเหล่านี้ไม่ควรทำงานภายใต้สิทธิ์ผู้ดูแลระบบในระดับ local หรือระดับ domain-level administrative privileges
นอกจากนี้ การใช้งานบางกรณียังมีการกำหนดค่า attachment directory ที่ไม่ถูกต้อง Trimble แนะนำให้จำกัด root folders ของ attachment ให้ประกอบไปด้วย attachment เท่านั้น
แม้ว่า CISA จะยังไม่ได้เปิดเผยถึงวิธีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ Trimble ได้เปิดเผย Indicators of Compromise (IOC) ที่พบว่าใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย
IOC เหล่านี้แสดงให้เห็นว่า Hacker ได้ปรับใช้เครื่องมือต่าง ๆ สำหรับการเข้าถึงจากระยะไกล รวมถึง WinPutty และ Cobalt Strike beacons
รวมถึง Microsoft ยังเตือนอีกว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง IIS Server เพื่อแพร่กระจายมัลแวร์ด้วย ViewState code injection โดยใช้ machine keys ของ ASP.NET ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต
ที่มา : bleepingcomputer.