La ciberseguridad se encuentra en alerta ante una vulnerabilidad crítica descubierta en Trimble Cityworks. La misma, es una herramienta utilizada por gobiernos locales y agencias federales con el objetivo de llevar a cabo una gestión de infraestructura públicas de manera eficiente.
La falla que ha sido detectada es identificada como CVE-2025-0994, lo que ha generado preocupación y angustia a los usuarios debido a su capacidad para ser explotada activamente por piratas informáticos. Como primera medida de protección, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) lanzó una advertencia a nivel nacional, mientras que expertos en ciberseguridad alertan sobre los riesgos significativos que esta brecha podría representar para infraestructuras críticas.
El 6 de febrero de 2025, CISA descubrió que una falla en la deserialización de datos confiables en las versiones previas de Trimble Cityworks podría habilitar a los intrusos a ejecutar código a distancia en los servidores impactados.
Esto implica que un usuario malintencionado podría obtener acceso y control sobre sistemas críticos, que incluyen infraestructuras de servicios públicos, aeropuertos, municipios y más, dejando expuestos a cientos de entes gubernamentales.
En su comunicado, CISA destacó que el riesgo de ejecución remota de código (RCE) es grave y ha sido confirmado como una amenaza activa. La vulnerabilidad afecta a todas las versiones de Trimble Cityworks anteriores a la 15.8.9 y a las versiones de Cityworks with office companion anteriores a la 23.10. Esto significa que una gran cantidad de instalaciones podrían estar en peligro, ya que la herramienta tiene un uso extendido en varios organismos públicos y privados a nivel mundial, en particular en Estados Unidos.
Desde el descubrimiento del fallo, ha quedado claro que los atacantes ya lo están explotando activamente en el mundo real.
Trimble, la compañía desarrolladora del software, confirmó que había recibido informes de intentos no autorizados de acceso a los sistemas Cityworks de algunos clientes específicos y, a su vez, los piratas informáticos han utilizado la vulnerabilidad para lanzar cargas útiles maliciosas, como Cobalt Strike, una herramienta comúnmente empleada para realizar ataques de penetración y controlar equipos comprometidos, y un cargador basado en Rust que permite la ejecución de una herramienta de acceso remoto conocida como VShell.
Según los informes de Censys, una plataforma de gestión de superficies de ataque, de las 335 instancias expuestas de Trimble Cityworks a Internet, el 91% están ubicadas en Estados Unidos. De estas, un total de 108 instancias están utilizando versiones vulnerables de la herramienta, lo que eleva aún más los riesgos asociados con esta brecha de seguridad.
Ante este ataque la Agencia de Ciberseguridad y Seguridad de las Infraestructuras ha emitido recomendaciones urgentes que se implementen de forma inmediata para mitigar la amenaza y proteger los sistemas afectados.
Mediante un comunicado oficial, CISA ha exhortado a todas las instituciones del Poder Ejecutivo Civil Federal (FCEB) a parchear la vulnerabilidad antes del 28 de febrero de 2025, fijando un periodo de tiempo definido para la solución del problema.
En suma, la CISA también ha incorporado CVE-2025-0994 al catálogo KEV de Vulnerabilidades Explotadas Conocidas, obligando a las entidades gubernamentales a implementar acciones de remediación de inmediato. Es por esto que la agencia recomienda que los usuarios y administradores de sistemas afectados busquen indicadores de compromiso (IoC) relacionados con el ataque y apliquen actualizaciones y soluciones necesarias para garantizar la seguridad de sus plataformas.
Es de suma importancia mencionar que desde el momento que se detectó la vulnerabilidad, Trimble publicó un parche de seguridad el 29 de enero de 2025 para mitigar el defecto. Sin embargo, CISA ha destacado que los ataques ya están ocurriendo y que el parche debe aplicarse con urgencia para prevenir futuros daños.
Además de la actualización del software, la empresa ha sugerido a los clientes que restrinjan los permisos vinculados al sistema, impidiendo la ejecución de Cityworks con privilegios administrativos tanto a nivel local como de dominio. Esto contribuiría significativamente a reducir la exposición de los datos y minimizar los riesgos asociados con la ejecución remota de código.
Trimble, con base en Colorado, es una de las compañías tecnológicas más destacadas que ofrece soluciones de software para la gestión de infraestructuras. Con más de 11,000 trabajadores distribuidos en 40 naciones, la empresa ha jugado un papel crucial en la provisión de instrumentos como Cityworks para la gestión de activos de infraestructuras vitales, tales como aeropuertos, servicios públicos y sistemas de administración urbana y rural.
El instrumento es esencial para miles de entidades gubernamentales y empresas privadas a nivel global, dado que facilita la gestión y coordinación de tareas como inspecciones, órdenes laborales, permisos y operaciones generales en infraestructuras esenciales. No solo se apoyan en ella los gobiernos locales y federales, sino también numerosas compañías privadas que gestionan redes de servicios esenciales y públicos.
Este suceso de seguridad resalta un problema crucial para las instituciones gubernamentales y las compañías que se apoyan en herramientas como Cityworks: la ciberseguridad debe ser una prioridad permanente, en particular cuando se administran infraestructuras que impactan directamente en la vida de millones de individuos.
La vulnerabilidad en Cityworks es únicamente un caso de cómo las brechas de seguridad pueden generar efectos de gran magnitud.
Aunque la vulnerabilidad ha sido detectada y corregida, el efecto de esta brecha podría ser considerable, particularmente en un escenario de ataques cibernéticos cada vez más avanzados. El uso de debilidades en plataformas de administración de infraestructuras vitales podría habilitar a los intrusos a ejecutar saboteos, adquirir datos íntimos o interrumpir servicios vitales, impactando la seguridad y el bienestar de las comunidades.
A pesar de que todavía no se conoce con precisión quién dirige los ataques o cuáles son sus metas finales, la utilización de herramientas como Cobalt Strike y VShell indica que los participantes en este ataque están bien estructurados y poseen la habilidad para llevar a cabo ciberataques de gran magnitud. Esto podría representar un peligro mayor para las empresas y los gobiernos si no se implementan medidas de seguridad pertinentes.
Este suceso resalta la importancia vital de los gobiernos y las entidades mantenerse al día con las actualizaciones de seguridad y implementar buenas prácticas en términos de ciberseguridad. Al igual que otras herramientas que administran infraestructuras públicas, Trimble Cityworks necesita tener sólidas estrategias de protección y estar lista para afrontar los retos de la ciberseguridad del futuro.
Es evidente el llamado a la acción: los sistemas de administración de infraestructuras vitales necesitan ser actualizados y protegidos de manera constante. La vulnerabilidad CVE-2025-0994 es solo una muestra de los peligros constantes a los que nos estamos exponiendo en un mundo que se digitaliza progresivamente. Solo mediante trabajo conjunto, entre gobiernos, empresas de tecnología y especialistas en ciberseguridad, podremos salvaguardar lo que es esencial para el correcto funcionamiento de nuestras sociedades.
Por último, Para reducir el riesgo y asegurar la salvaguarda de los sistemas, se deben aplicar una serie de estrategias fundamentales de forma inmediata. A continuación, se ofrecen las tres recomendaciones más relevantes para disminuir la vulnerabilidad a amenazas informáticas y garantizar la continuidad en las operaciones de las infraestructuras esenciales.
Estos desafíos no solo ponen en riesgo la infraestructura crítica de los gobiernos y empresas, sino que también afectan la seguridad pública, la confianza en los servicios esenciales y la estabilidad de las comunidades. La ciberseguridad se ha convertido en una prioridad urgente que exige una respuesta rápida, adaptativa y proactiva para prevenir desastres mayores.
En Never Off Technology, estamos aquí para ayudarte a proteger tus sistemas y garantizar que tus infraestructuras permanezcan seguras y operativas. ¡No pongas en riesgo lo que has construido, actúa ahora para proteger tu entorno digital!
