Cityworks

Die Schwachstelle betrifft Trimble Cityworks, eine Software zur Verwaltung kommunaler Infrastruktur und Betriebsmittel, einschließlich der zugehörigen Office-Companion-Komponente. Ursache ist ein Fehler bei der Deserialisierung – also dem Zurückwandeln gespeicherter oder übertragener Datenstrukturen in Objekte. Werden dabei manipulierte Daten verarbeitet, lässt sich daraus Schadcode erzeugen. Ausnutzen kann die Lücke ein Angreifer, der bereits über ein gültiges Benutzerkonto verfügt: Mit dieser angemeldeten Position kann er aus der Ferne beliebigen Code auf dem Microsoft-IIS-Webserver des Kunden ausführen, auf dem die Anwendung läuft. Damit verschafft er sich Kontrolle über den Server, der die Cityworks-Installation bereitstellt, und kann darüber tiefer in die betroffene Umgebung eindringen. Betroffen sind Organisationen, die Cityworks auf einem eigenen IIS-Webserver betreiben – typischerweise Kommunen und Versorger, die die Software für Verwaltungs- und Wartungsprozesse einsetzen.