Aviso del 10 de febrero: Vulnerabilidad de Trimble Cityworks añadida a CISA KEV [CVE-2025-0994].
Compartir
Fecha de divulgación (fuente): 6 de febrero de 2025
Fecha en que se comunicó que se había explotado activamente (fuente): 7 de febrero de 2025
CVE-2025-0994 es una vulnerabilidad de deserialización que afecta a las versiones de Trimble Cityworks anteriores a la 15.8.9 y a las versiones de Cityworks with office companion anteriores a la 23.10. ICS-CERT asignó a esta vulnerabilidad una puntuación CVSS de 8,6 (alta).
Un usuario no autenticado puede aprovechar esta vulnerabilidad para ejecutar código de forma remota en el servidor web Microsoft Internet Information Services (IIS) de un cliente, lo que permitiría a un atacante tomar el control del servidor backend que ejecuta Cityworks.
Los gobiernos locales y las empresas de servicios públicos utilizan Trimble Cityworks para gestionar infraestructuras como plantas de tratamiento de agua, instalaciones de aguas residuales y obras públicas. La explotación exitosa de los dispositivos expuestos puede permitir a los atacantes interrumpir los sistemas críticos responsables de la gestión de la infraestructura pública.
Se sabe que esta vulnerabilidad se explota activamente y se añadió al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA el 7 de febrero de 2025. CISA emitió un aviso para CVE-2025-0994, instando a las organizaciones a aplicar el parche inmediatamente.
| Campo | Detalles | |||||
|---|---|---|---|---|---|---|
| CVE-ID | CVE-2025-0994 - CVSS 8.6 (Alto) - asignado por ICS-CERT | |||||
| Descripción de la vulnerabilidad | Las versiones de Trimble Cityworks anteriores a la 15.8.9 y las versiones de Cityworks with Office Companion anteriores a la 23.10 son vulnerables a un fallo de deserialización. Esta vulnerabilidad permite a un usuario autenticado realizar un ataque de ejecución remota de código contra el servidor web Microsoft IIS de un cliente. | |||||
| Fecha de divulgación | 6 de febrero de 2025 | |||||
| Activos afectados | Organizaciones que utilicen Trimble Cityworks o Cityworks with Office Companion, especialmente aquellas que desplieguen el software en servidores web Microsoft IIS. | |||||
| Versiones de software vulnerables | - Versiones de Cityworks anteriores a 15.8.9
- Cityworks con versiones de Office Companion anteriores a la 23.10 |
|||||
| ¿PoC disponible? | No observamos ningún exploit público disponible en el momento de escribir este artículo. | |||||
| Estado de explotación | Esta vulnerabilidad ha sido explotada activamente en la naturaleza. CVE-2025-0994 se añadió a CISA KEV el 7 de febrero de 2025. | |||||
| Estado del parche | Trimble ha publicado actualizaciones de seguridad en su aviso que abordan esta vulnerabilidad. Se recomienda a los usuarios que actualicen a la versión 15.8.9 o posterior de Cityworks, y a la versión 23.10 o posterior de Cityworks with Office Companion. | |||||
Censys Perspectiva
En el momento de redactar este informe, Censys observó 335 instancias de Trimble Citywork expuestas. Una gran proporción de ellas (91%) están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas las instancias observadas son necesariamente vulnerables, ya que no siempre disponemos de versiones específicas.
De las 335 expuestos, 108 expusieron una versión vulnerable a CVE-2025-0994. Consulte la tabla siguiente para ver las diez versiones que vimos con más frecuencia:
| Versión | Recuento de anfitriones |
|---|---|
| 15.8.8 | 15 |
| 15.8.3 | 11 |
| 15.8.6 | 11 |
| 15.8.7 | 11 |
| 15.7.7 | 8 |
| 15.8.2 | 8 |
| 15.7.5 | 6 |
| 15.6.3 | 5 |
| 15.8.4 | 5 |
| 15.2.3 | 4 |
Mapa de instancias vulnerables de Trimble Cityworks:
services.software: (vendor="Trimble" and product="Cityworks") and not labels: {honeypot, tarpit}
Consulta de la plataforma Censys :
(host.services.software: (vendor:"Trimble" and product:"Cityworks") and not host.labels.value: {"HONEYPOT", "TARPIT"}) or (web.software: (vendor:"Trimble" and product:"Cityworks") and not web.labels.value: {"HONEYPOT", "TARPIT"})
(host.services.software: (vendor="Trimble" and product="Cityworks") or web_entity.instances.software: (vendor="Trimble" and product="Cityworks")) and not host.labels: {honeypot, tarpit}
risks.name = "Vulnerable Trimble Cityworks [CVE-2025-0994]"
