Avis du 10 février : Vulnérabilité de Trimble Cityworks ajoutée à CISA KEV [CVE-2025-0994]
Partager
Date de la divulgation (source) : 6 février 2025
Date de déclaration d'exploitation active (source) : 7 février 2025
CVE-2025-0994 est une vulnérabilité de désérialisation affectant les versions de Trimble Cityworks antérieures à 15.8.9 et Cityworks avec office companion antérieures à 23.10. ICS-CERT a attribué à cette vulnérabilité un score CVSS de 8.6 (élevé).
Un utilisateur non authentifié peut exploiter cette vulnérabilité pour exécuter un code à distance sur le serveur web Microsoft Internet Information Services (IIS) d'un client, ce qui permet à un attaquant de prendre le contrôle du serveur dorsal exécutant Cityworks.
Les collectivités locales et les services publics utilisent Trimble Cityworks pour gérer des infrastructures telles que les stations d'épuration, les installations de traitement des eaux usées et les travaux publics. L'exploitation réussie des dispositifs exposés peut permettre aux attaquants de perturber les systèmes critiques responsables de la gestion des infrastructures publiques.
Cette vulnérabilité est connue pour être activement exploitée et a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA le 7 février 2025. La CISA a publié un avis pour CVE-2025-0994, invitant les organisations à appliquer le correctif immédiatement.
| Champ d'application | Détails | |||||
|---|---|---|---|---|---|---|
| CVE-ID | CVE-2025-0994 - CVSS 8.6 (High) - attribué par ICS-CERT | |||||
| Description de la vulnérabilité | Les versions de Trimble Cityworks antérieures à 15.8.9 et Cityworks avec Office Companion antérieures à 23.10 sont vulnérables à une faille de désérialisation. Cette vulnérabilité permet à un utilisateur authentifié de réaliser une attaque par exécution de code à distance contre le serveur web Microsoft IIS d'un client. | |||||
| Date de la divulgation | 6 février 2025 | |||||
| Actifs touchés | Les organisations qui utilisent Trimble Cityworks ou Cityworks avec Office Companion, en particulier celles qui déploient le logiciel sur des serveurs web Microsoft IIS. | |||||
| Versions de logiciels vulnérables | - Versions de Cityworks antérieures à 15.8.9
- Cityworks avec les versions d'Office Companion antérieures à 23.10 |
|||||
| PoC disponible ? | Nous n'avons pas observé d'exploits publics disponibles au moment de la rédaction du présent document. | |||||
| Statut d'exploitation | Cette vulnérabilité a été activement exploitée dans la nature. CVE-2025-0994 a été ajouté à CISA KEV le 7 février 2025. | |||||
| Statut du patch | Trimble a publié des mises à jour de sécurité dans son avis pour remédier à cette vulnérabilité. Il est conseillé aux utilisateurs de mettre à jour vers la version 15.8.9 ou plus récente de Cityworks, et vers la version 23.10 ou plus récente de Cityworks avec Office Companion. | |||||
Censys Perspective
Au moment de la rédaction du présent rapport, Censys a observé que 335 instances de Trimble Citywork exposées. Une grande partie d'entre elles (91%) sont géolocalisées aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas nécessairement vulnérables, car nous ne disposons pas toujours de versions spécifiques.
Sur les 335 exposées, 108 ont exposé une version vulnérable au CVE-2025-0994. Le tableau ci-dessous présente les dix versions les plus fréquemment observées :
| Version | Nombre d'hôtes |
|---|---|
| 15.8.8 | 15 |
| 15.8.3 | 11 |
| 15.8.6 | 11 |
| 15.8.7 | 11 |
| 15.7.7 | 8 |
| 15.8.2 | 8 |
| 15.7.5 | 6 |
| 15.6.3 | 5 |
| 15.8.4 | 5 |
| 15.2.3 | 4 |
Carte des instances vulnérables de Trimble Cityworks :
services.software: (vendor="Trimble" and product="Cityworks") and not labels: {honeypot, tarpit}
(host.services.software: (vendor:"Trimble" and product:"Cityworks") and not host.labels.value: {"HONEYPOT", "TARPIT"}) or (web.software: (vendor:"Trimble" and product:"Cityworks") and not web.labels.value: {"HONEYPOT", "TARPIT"})
(host.services.software: (vendor="Trimble" and product="Cityworks") or web_entity.instances.software: (vendor="Trimble" and product="Cityworks")) and not host.labels: {honeypot, tarpit}
risks.name = "Vulnerable Trimble Cityworks [CVE-2025-0994]"
