El Gobierno de Estados Unidos tiene un problema de ciberseguridad

Expertos en ciberseguridad han alertado sobre un aumento en los ataques informáticos dirigidos a servidores sensibles del gobierno, aprovechando vulnerabilidades en software gubernamental.

Esta advertencia se origina en la firma de ciberseguridad Trimble, que ha identificado que su herramienta Cityworks ha sido utilizada en estos ataques.

Trimble alertó a sus clientes a través de una carta, en la que menciona el descubrimiento de una vulnerabilidad de deserialización, etiquetada como CVE-2025-0994, que permite la ejecución remota de código (RCE) con un alto puntaje de severidad de 8.6.

Trimble released security updates for a deserialization vulnerability CVE-2025-0994 impacting its Cityworks Server AMS. This enables threat actors to conduct remote code execution against a customer’s Microsoft IIS web server. Apply updates & learn more ? https://t.co/TyBvD9evaQ pic.twitter.com/Bqxe5mVe7r

— CISA Cyber (@CISACyber) February 7, 2025

Qué sabemos de esta vulnerabilidad estatal

La explotación de esta vulnerabilidad podría permitir a los atacantes desplegar beacons de Cobalt Strike en servidores de Microsoft Internet Information Services (IIS).

Cityworks, un software de gestión de activos y permisos basado en sistemas de información geográfica (GIS), está diseñado para ayudar a los gobiernos y servicios públicos en la gestión eficiente de su infraestructura y operaciones.

Tras recibir reportes de intentos no autorizados de acceso a implementaciones específicas de Cityworks, Trimble ha lanzado actualizaciones para mitigar los riesgos: la versión 15.x se ha actualizado a 15.8.9, y la 23.x a 23.10.

Además de las actualizaciones, la compañía advirtió sobre configuraciones incorrectas de directorios de adjuntos y permisos de identidad IIS sobreelevados en algunas implementaciones on-premise, lo cual podría incrementar el riesgo. Trimble enfatiza que estas cuestiones deben abordarse simultáneamente para reanudar operaciones normales con Cityworks.

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha emitido un aviso coordinado, instando a las organizaciones afectadas a aplicar los parches de seguridad de inmediato y realizar un análisis de impacto y evaluación de riesgos antes de implementar medidas defensivas.

Las organizaciones que detecten actividad maliciosa deben seguir los procedimientos internos y reportar cualquier incidente a CISA para un mejor seguimiento.