Chinese Hackers exploram vulnerabilidade em Cityworks e atacam agências dos EUA

São Paulo — InkDesign News —

A Cisco Talos emitiu um alerta crítico sobre a exploração ativa de uma vulnerabilidade de dia zero (CVE-2025-0994) no Trimble Cityworks, uma plataforma amplamente utilizada para gerenciamento de ativos públicos. Essa falha permite a execução remota de código, colocando em risco organizações governamentais locais nos Estados Unidos desde janeiro de 2025.

Incidente e vulnerabilidade

O CVE-2025-0994, classificado com um índice CVSS de 8.6, permite que hackers executem programas maliciosos à distância. Os ataques, liderados pelo grupo de ameaças UAT-6382, visam principalmente órgãos governamentais locais nos Estados Unidos. A vulnerabilidade afeta versões anteriores à 15.8.9 do Cityworks e versões anteriores à 23.10 do Cityworks com Office Companion, permitindo que atacantes acessem os servidores da Microsoft Internet Information Services sem autenticação.

Impacto e resposta

A Cisco Talos identificou que os atacantes implantam “web shells”, como AntSword e chinatso/Chopper, em servidores comprometidos, permitindo acesso persistente. Além disso, utilizam ferramentas personalizadas, como um carregador baseado em Rust chamado TetraLoader, para instalar malwares como Cobalt Strike e VShell. Esse acesso compromete a integridade dos sistemas das organizações afetadas, tendo alguns ataques já causado danos consideráveis.

A Cisco Talos encontrou intrusões nas redes de órgãos governamentais locais nos EUA, começando em janeiro de 2025 quando a exploração inicial ocorreu.
(“Talos has found intrusions in enterprise networks of local governing bodies in the United States (U.S.), beginning in January 2025 when initial exploitation first took place.”)

— Cisco Talos

Mitigações recomendadas

A Trimble e a CISA emitiram avisos acerca da vulnerabilidade, que pode ser mitigada com a aplicação de patches de segurança. A Cityworks lançou atualizações para solucionar a CVE-2025-0994, recomendando que os usuários realizem a atualização imediatamente. Organizações devem monitorar atividades suspeitas utilizando os indicadores técnicos de compromisso (IOCs) fornecidos pela Cisco Talos. A Cisco Talos também sugere o uso de produtos de segurança como Cisco Secure Endpoint, Secure Firewall e Umbrella para proteção contra tais ataques.

Os atacantes mostram interesse particular em sistemas de gerenciamento de utilidades e implantam backdoors utilizando comandos PowerShell para garantir acesso a longo prazo.
(“Researchers noted that upon gaining access, the attackers show a particular interest in systems related to utility management.”)

— Cisco Talos

Os riscos residuais relacionados a esta vulnerabilidade continuam a ser uma preocupação significativa, exigindo atenção contínua e melhorias nas práticas de segurança cibernética.

Fonte: (Hack Read – Segurança Cibernética)