آسیب پذیری اجرای کد از راه دور در نرم‌افزار Trimble Cityworks

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، هفتم فوریه ۲۰۲۵ در خصوص یک آسیب ‌پذیری اجرای کد از راه دور (RCE) در نرم‌افزار Trimble Cityworks هشدار داد. این نرم‌افزار برای مدیریت دارایی‌ها و عملیات کاری در زیرساخت‌های عمومی، به‌ویژه در بخش‌های آب و فاضلاب، استفاده می‌شود.

این آسیب ‌پذیری که با شناسه CVE-2025-0994 (امتیاز CVSS:8.6) دنبال می‌شود، ناشی از یک نقص عدم دنباله سازی (Deserialization) داده‌ها است و مهاجمان می‌توانند از آن برای اجرای کد از راه دور بر روی سرور وب IIS هدف سوءاستفاده کنند.

آسیب ‌پذیری عدم دنباله‌سازی داده‌ها به یک نقص امنیتی اشاره دارد که در آن داده‌های غیرقابل اطمینان یا مخرب به‌طور نادرست از یک فرمت ذخیره ‌شده به آبجکت (Object) یا ساختار داده‌ای دیگری تبدیل می‌شوند. این فرآیند می‌تواند توسط مهاجمان مورد سوءاستفاده قرار گیرد تا کد دلخواه را اجرا کنند یا به داده‌های حساس دسترسی پیدا کنند.

در حالت معمول، دنباله ‌سازی (Serialization) فرایندی است که طی آن داده‌ها (مانند آبجکت یا متغیرهای پیچیده در یک برنامه) به یک فرمت قابل ذخیره‌سازی یا قابل انتقال تبدیل می‌شوند. دنباله‌سازی معکوس (Deserialization) سپس، برای تبدیل مجدد این داده‌ها به حالت اصلی‌شان استفاده می‌شود.

اکسپلویت موفق این آسیب ‌پذیری می‌تواند به مهاجمان امکان دسترسی غیرمجاز به داده‌های حساس، ایجاد اختلال در سرویس‌های حیاتی و حتی کنترل کامل سیستم‌های آسیب پذیر را بدهد.

این آسیب ‌پذیری در نسخه‌های پیش از 15.8.9 نرم‌افزار Cityworks و نسخه‌های پیش از 23.10 نرم‌افزار Cityworks with Office Companion وجود دارد. آسیب ‌پذیری CVE-2025-0994 به یک کاربر احراز هویت ‌شده امکان می‌دهد تا کد مخرب را از راه دور بر روی سرور IIS مایکروسافت اجرا کند.

Trimble، شرکت توسعه ‌دهنده Cityworks، به‌طور فعال این آسیب ‌پذیری را به CISA گزارش داده و نسخه‌های به‌ روزرسانی ‌شده‌ای را برای رفع آن منتشر کرده است. نسخه 15.8.9 در تاریخ 28 ژانویه 2025 و نسخه 23.10 در تاریخ 29 ژانویه 2025 منتشر شده‌اند. لازم به ذکر است که این به‌روزرسانی‌ها به‌طور خودکار برای تمامی استقرارهای Cityworks Online (CWOL) اعمال شده‌اند.

اطلاعات بیشتر در مورد این به‌روزرسانی‌ها از طریق پورتال پشتیبانی Cityworks در دسترس است.

Trimble هم‌زمان با افشای این آسیب ‌پذیری، فهرستی از شاخص‌های نفوذ (IoC) را منتشر کرده است تا به سازمان‌ها در شناسایی تلاش‌های احتمالی برای سوءاستفاده کمک کند. این شاخص‌ها شامل هش‌های SHA256 از فایل‌های مخرب، مسیرهای فایل، آدرس‌های IP و نام دامنه‌های مرتبط با حملات می‌باشند.

CISA به‌ شدت توصیه می‌کند که مشتریان Cityworks اقدامات زیر را دنبال کنند:

• به‌روزرسانی‌های امنیتی را اعمال کنید: هر چه سریع‌تر به نسخه‌های 15.8.9 یا 23.10 Cityworks ارتقا دهید.
• مجوزهای هویتی IIS را بررسی و تقویت کنید: اطمینان حاصل نمایید که IIS با مجوزهای اضافی و غیرضروری اجرا نمی‌شود.
• پیکربندی دایرکتوری پیوست‌ها را بررسی کنید: تنظیمات root دایرکتوری پیوست‌ها را فقط به فولدرها و فولدرهای فرعی حاوی پیوست‌ها محدود کنید.
• شاخص‌های نفوذ (IOCs) را مورد بررسی قرار دهید: از IoCهای ارائه ‌شده برای شناسایی فعالیت‌های مخرب احتمالی در شبکه خود استفاده کنید.

تمپلیت Nuclei برای کمک به شناسایی نمونه‌های آسیب ‌پذیر در دسترس است. این تمپلیت نسخه موجود در بدنه HTML را استخراج کرده و آسیب ‌پذیر بودن به CVE-2025-0994 را شناسایی می‌کند. برای استفاده از تمپلیت Nuclei:

1. Nuclei را دانلود کنید.
2. تمپلیت را در سیستم لوکال خود کپی کنید.
3. فرمان زیر را اجرا کنید: nuclei -u https://yourHost.com -t template.yaml

با توجه به گزارش‌های موجود، این آسیب ‌پذیری در حال حاضر توسط مهاجمان مورد سوءاستفاده قرار گرفته است. از این رو، اقدام سریع برای به‌روزرسانی و اعمال توصیه‌های امنیتی ضروری می‌باشد.

منابع