2月8日消息，知名软件供应商Trimble发布了严肃警告。据相关报告显示，现已有确凿证据表明，某些不法黑客正利用Cityworks软件中存在的反序列化漏洞（CVE - 2025 - 0994），对IIS服务器展开远程攻击。攻击得手后，他们还能进一步部署Cobalt Strike信标，以此方式获取网络系统的初始访问权限，给网络安全带来极大威胁。

美国网络安全和基础设施安全局（CISA）也发布了协调咨询，警告客户立即保护其网络免受攻击。

CISA 尚未分享该漏洞被利用的具体方式，但 Trimble 发布了攻击利用该漏洞的入侵指标 (IOC)。这些 IOC 表明，威胁行为者部署了包括 WinPutty 和 Cobalt Strike 信标等各种远程访问工具。微软也警告称，威胁行为者正在入侵 IIS 服务器。

简要介绍下 Cityworks，这是一款以地理信息系统（GIS）为中心的资产管理和工单管理软件，主要面向地方**、公用事业和公共工程组织。

CVE-2025-0994 漏洞是一个高危的反序列化问题，CVSS v4.0 评分为 8.6。认证用户可以通过该漏洞对客户的 Microsoft Internet Information Services（IIS）服务器执行远程代码执行（RCE）攻击。

该漏洞影响 15.8.9 之前的 Cityworks 版本，以及 23.10 之前的带有 office companion 的 Cityworks 版本。

Trimble 已于 2025 年 1 月 28 日和 29 日分别发布了最新版本 15.8.9 和 23.10，管理本地部署的管理员必须尽快应用安全更新；云托管实例（CWOL）将自动推送更新。