A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma falha de segurança no software de gestão de ativos Trimble Cityworks, que está sendo explorada ativamente. A vulnerabilidade, identificada como CVE-2025-0994 e classificada com um escore CVSS v4 de 8.6, permite a execução remota de código ao explorar a desserialização de dados não confiáveis.

Segundo o aviso publicado em 6 de fevereiro de 2025, um invasor autenticado pode explorar essa falha para executar ataques no servidor Microsoft IIS da vítima. As versões afetadas incluem todas as anteriores à 15.8.9 do Cityworks e todas as versões anteriores à 23.10 do Cityworks com Office Companion. Embora a Trimble tenha disponibilizado correções em 29 de janeiro de 2025, a CISA alerta que hackers já estão explorando ativamente a brecha. A empresa, sediada no Colorado, confirmou relatos de tentativas não autorizadas de acesso a sistemas específicos de clientes.

Os indicadores de comprometimento divulgados pela Trimble indicam que a falha está sendo usada para implantar um loader baseado em Rust, que posteriormente executa a ferramenta de ataque Cobalt Strike e um trojan de acesso remoto desenvolvido em Go chamado VShell, entre outras cargas maliciosas desconhecidas. Ainda não há informações sobre os responsáveis pelos ataques nem seus objetivos finais. A recomendação é que todos os usuários das versões afetadas atualizem seus sistemas imediatamente para minimizar os riscos.