美国网络安全与基础设施安全局(CISA)将一个编号为 CVE – 2025 – 0994 的天宝(Trimble)Cityworks 漏洞,纳入其已知被利用漏洞(KEV)目录。
天宝 Cityworks 是一款以地理信息系统(GIS)为核心的资产管理与许可软件,专为地方政府、公用事业部门及公共工程机构设计。它与 Esri 的 ArcGIS 集成,有助于管理基础设施资产、跟踪工单并简化运营流程。
CVE – 2025 – 0994 漏洞(通用漏洞评分系统 v4 评分为 8.6)属于不可信数据反序列化问题。攻击者可利用此漏洞实现远程代码执行。
CISA 的公告中写道:“成功利用此漏洞可使已认证用户进行远程代码执行。这可能让已认证用户针对客户的微软互联网信息服务(IIS)Web 服务器发动远程代码执行攻击。”
该漏洞影响 15.8.9 之前的版本,以及办公配套版本在 23.10 之前的 Cityworks 软件。
天宝发布的公告中包含与利用该漏洞的攻击活动相关的入侵指标(IoC),攻击者借此部署基于 Rust 语言的加载器,进而启动 Cobalt Strike(一款基于 Go 语言的远程访问工具 VShell)以及其他未知有效载荷。
根据《约束性操作指令(BOD)22 – 01:降低已知被利用漏洞的重大风险》,联邦民用行政部门(FCEB)各机构必须在截止日期前修复已识别的漏洞,以保护其网络免受利用该目录中漏洞发起的攻击。
专家还建议私营企业查看该目录,并修复其基础设施中的相关漏洞。
CISA 命令联邦机构在 2025 年 2 月 28 日前修复此漏洞。