Kwetsbaarheid in Cityworks leidt tot Microsoft IIS-aanvallen

Trimble, een softwareleverancier voor onder meer de bouwsector, waarschuwt voor een kritieke kwetsbaarheid in de eigen Cityworks-software die aanvallen op Microsoft Internet Information Services (IIS)-servers mogelijk maakt. Een patch is inmiddels beschikbaar.

Volgens Trimble betreft het een kwetsbaarheid in de GIS-asset- en werkorderbeheer-software Cityworks. Deze software wordt voornamelijk gebruikt door lokale overheden, de nutssector en beheerders van publieke infrastructuur.

Aanvalspad voor RCE-aanvallen

De recent ontdekte kwetsbaarheid CVE-2025-0994, veroorzaakt een zogenoemd ‘deserialization’-probleem. Dit stelt geauthenticeerde gebruikers in staat om RCE-aanvallen uit te voeren op Microsoft IIS-servers.

Hierdoor kunnen cybercriminelen andere malware binnen een netwerk verspreiden. Uit analyses van misbruikindicatoren ontdekten de securityspecialisten van Trimble dat hackers onder meer remote access tools installeerden, zoals WinPutty en Cobalt Strike beacons.

De kwetsbaarheid treft alle versies van Trimble Cityworks vóór versie 15.8.9. Ook Cityworks met ‘office companion’-versies ouder dan 23.10 zijn kwetsbaar. De nieuwste versies 15.8.9 en 23.10 werden eind januari van dit jaar uitgebracht.

Oplossen in drie stappen

Trimble adviseert beheerders om het probleem in drie stappen aan te pakken:

Security-update installeren: Beheerders van on-premise installaties moeten zo snel mogelijk de laatste beveiligingsupdate installeren. Cloud-gebaseerde instances worden automatisch bijgewerkt.
Beheer IIS-identiteitsrechten: Voor on-premise installaties moeten beheerders controleren of IIS-identiteitspermissies niet overgeprivilegieerd zijn. Deze mogen niet met lokale of domeinadministratieve rechten draaien.
Attachment-directory correct configureren: Beheerders moeten nagaan of de configuratie van de attachment-directory correct is. Trimble adviseert om attachment root folders te beperken tot alleen bijlagen.

Na het doorlopen van deze drie stappen kan Trimble Cityworks weer veilig worden gebruikt.

Meerdere aanvallen op IIS-servers

Deze kwetsbaarheid is niet de enige recente dreiging voor Microsoft IIS-servers. Vorige week werd bekend dat hackers steeds vaker IIS-servers aanvallen via ViewState-code-injectie. Dit doen ze met behulp van publiek beschikbare ASP.NET-machinekeys die online zijn aangetroffen.

Lees ook: Kwetsbaarheid in ChatGPT-API leidt mogelijk tot DDoS-aanvallen

Tech calendar

Kwetsbaarheid in Cityworks leidt tot Microsoft IIS-aanvallen

Aanvalspad voor RCE-aanvallen

Oplossen in drie stappen

Meerdere aanvallen op IIS-servers

Blijf op de hoogte, abonneer!

Cisco en OESO stellen digitaal welbevinden centraal met Digital Well-being Hub

Fidelma Russo: “HPE bouwt en koopt wat klanten nodig hebben binnen onze stack”

Welke cloudmigratiestrategie is het best voor jouw bedrijf?

NIS2: wet mist toekomstgerichtheid, uitdagende ambities en recovery-aspect

NIS2 leidt tot betere basishygiëne

NIS2-compliance is het startpunt, betere security het doel

NIS2: Hoe IT-teams en MSP’s zich kunnen voorbereiden

IT Master in één Dag

Atlassian Team ’25

GITEX ASIA

.NEXT 2025

LambdaConf 2025

Qlik Connect 2025

Hoe kies je het juiste Enterprise Linux-platform?

Hoe selecteer je het juiste ERP-systeem?

Veilige toegang met Zero Trust

Beheer risico’s effectief met unified risk posture