Aanvallers maken actief misbruik van een kwetsbaarheid in Trimble Cityworks voor het overnemen van Microsoft Internet Information Services (IIS) webservers. Trimble Cityworks is een 'asset managementsysteem' waarmee onder andere lokale overheden, nutsvoorzieningen en luchthavens infrastructuur kunnen onderhouden en beheren. De oplossing draait op een Microsoft IIS-server.

Een kwetsbaarheid in de oplossing maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige code op de onderliggende IIS-server uit te voeren. Trimble kwam eind januari voor verschillende versies van Cityworks met beveiligingsupdates. Misbruik vond echter al voor het uitkomen van de patches plaats. De impact van de kwetsbaarheid (CVE-2025-0994) is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Dit komt mede doordat de aanvaller geauthenticeerd moet zijn.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is met een aparte waarschuwing voor de kwetsbaarheid gekomen. Daarin laat het weten dat de Cityworks-software in staat is om industriële processen aan te sturen, maar geen direct onderdeel van een industrieel controlesysteem (ICS) is. Trimble heeft Indicators of Compromise openbaar gemaakt waarmee klanten kunnen kijken of ze ook zijn aangevallen.