Les recherches de Talos ont révélé que les pirates chinois exploitent activement le défaut pour exécuter le code et tenter de persistance sur les systèmes vulnérables.
Un défaut de sécurité de haute sévérité maintenant par réglement affectant Trimble City Works – un logiciel spécialisé utilisé par les gouvernements locaux aux États-Unis, les services publics et les agences publiques pour gérer leur infrastructure et leurs services communautaires – a été abusé par les pirates chinois pour compromettre les systèmes avant qu’un patch ne soit disponible.
Selon un rapport Talos Intelligence, le défaut (suivi sous le nom de CVE-2025-0994) dans l’outil de gestion des actifs basé sur le système d’information géographique (SIG) a été utilisé par des pirates dans l’exploitation zéro jour pour obtenir l’exécution du code distant et la livraison ultérieure de logiciels malveillants.
“Talos has found intrusions in enterprise networks of local governing bodies in the United States (US), beginning January 2025 when initial exploitation first took place,” the cybersecurity outfit said in a blog post, attributing the exploitation to the entity it tracks as ‘UAT-6382’.“Based on tooling and tactics, techniques and procedures (TTPs) employed by the threat actor, Talos assesses with high confidence that L’exploitation et l’activité post-compromis ultérieure sont menées par des acteurs de menace chinois. »
L’Agence de sécurité de la cybersécurité et de l’infrastructure (CISA) avait signalé la faille en février pour sa capacité à compromettre les systèmes ICS critiques. Trimble a abordé la vulnérabilité en publiant des mises à jour de sécurité en janvier.
Les pirates ont utilisé la grève de Cobalt et les charges utiles VShell
Sur la base des preuves présentées par Talos, les acteurs de la menace ont exploité CVE-2025-0994 pour déployer des charges utiles malveillantes qui incluent des chargeurs à base de rouille, du JavaScript obscurci et des outils comme Cobalt Strike et Vshell pour des attaques avancées.
« L’UAT-6382 a réussi à exploiter CVE-2025-0994, a réalisé une reconnaissance et a rapidement déployé une variété de shells Web et de logiciels malveillants sur mesure pour maintenir un accès à long terme », a déclaré Talos. « En accédant, UAT-6382 a exprimé un intérêt clair à pivoter les systèmes liés à la gestion des services publics. »
Une fois à l’intérieur d’un système CityWorks – souvent par des références volées ou des attaques – les attaques ont exploité la faille pour télécharger tranquillement les chargeurs de logiciels malveillants déguisés. Le chargeur attire ensuite les logiciels malveillants pour la persistance ou une intrusion plus profonde, certains se masquant même en tant que services légitimes de Cityworks, par exemple, CityWorksCacheLayerService.exe, pour éviter de relancer les alarmes.
Pour une intrusion plus profonde, les pirates se sont appuyés sur des outils tels que Cobalt Strike et Vshell, et ont glissé du JavaScript malveillant dans des répertoires négligés.
Bogue de désérialisation autorisé RCE sur Microsoft IIS
La vulnérabilité, qui a un impact sur les versions Cityworks avant le 15.8.9 et Cityworks avec des versions de compagnie de bureau avant 23.10, est un défaut de désérialisation qui a été attribué à une cote de gravité de CVSS 8.6 sur 10.
Au cours de l’exploitation réussie, le bogue permet aux attaquants authentifiés d’exécuter un code distant (RCE) sur le serveur Web Microsoft Internet Services (IIS) d’une cible, un risque important étant donné qu’il pourrait entraîner un accès et un contrôle non autorisés sur les systèmes critiques. Trimble avait résolu le problème avec deux déploiements de janvier, Cityworks 15.8.9 et Office Companion 23.10, et a exhorté les clients à mettre à jour rapidement les systèmes affectés.
« Sur les prémisses, les clients doivent installer immédiatement la version mise à jour », avait déclaré la société. «Ces mises à jour seront automatiquement appliquées à tous les déploiements CityWorks Online (CWOL).»
En tant qu’étapes d’atténuation supplémentaires, Trimble a recommandé que ses clients sur site n’exécutent pas IIS avec des privilèges administratifs locaux ou au niveau du domaine sur n’importe quel site, une configuration définie automatiquement pour les utilisateurs de CWOL.
Les configurations de répertoire de pièce jointe inappropriées ont également été signalées par l’entreprise avec des instructions pour limiter ces configurations aux dossiers / sous-dossiers contenant uniquement des pièces jointes. Talos a indiqué que les exploits zéro-jours ne sont pas trop choquants, compte tenu d’une analyse des événements en février a trouvé 111 cas de villes accessibles au public, dont environ 21% se sont révélées vulnérables au CVE-2025-0994.
