Actori de amenințare au exploatat activ o vulnerabilitate critică de execuție de cod de la distanță în serverul Metro Development Server al React Native timp de peste o lună, instalând malware sofisticat pe sistemele dezvoltatorilor de software, atât pe Windows, cât și pe Linux.
Vulnerabilitatea, identificată ca CVE-2025-11953 și numită Metro4Shell, permite atacatorilor neautentificați să execute comenzi arbitrare ale sistemului de operare pe computerele dezvoltatorilor prin trimiterea de cereri HTTP special modificate către serverele de dezvoltare expuse. Compania de securitate cibernetică VulnCheck a detectat pentru prima dată exploatarea acestei vulnerabilități pe 21 decembrie 2025, prin rețeaua sa de honeypot-uri Canary, atacuriontinuate fiind observate pe 4 ianuarie și 21 ianuarie.
O lacună critică în conștientizarea publică
Deși are un scor CVSS critic de 9.8, vulnerabilitatea a primit o atenție minimă în discuțiile publice despre securitate. VulnCheck a remarcat o discrepanță evidentă între realitatea observată și Exploit Prediction Scoring System (EPSS), care a atribuit vulnerabilității o probabilitate de exploatare de doar 0,00405.
„Exploatarea a livrat payload-uri avansate atât pe Linux, cât și pe Windows, demonstrând că Metro4Shell oferă un mecanism practic de acces inițial multi-platformă”, a declarat VulnCheck în analiza sa.
JFrog Security Research a descoperit și a divulgat inițial CVE-2025-11953 la începutul lunii noiembrie 2025, avertizând că Metro Development Server, inclus în pachetul npm @react-native-community/cli, se conectează implicit la interfețe de rețea externe. Serverul expune un endpoint /open-url care transmite input-ul controlat de utilizator direct către o funcție open() nesigură, permițând injectarea de comenzi.
Aproximativ 3.500 de instanțe de server Metro rămân accesibile public online, conform scanărilor efectuate cu motorul de căutare ZoomEye.
Lanț de atac sofisticat
Campania de exploatare demonstrează maturitate operațională mai degrabă decât testare experimentală, au declarat cercetătorii. Atacatorii implementează un încărcător bazat pe PowerShell multi-etapă, livrat prin cmd.exe, cu payload-ul inițial codificat în Base64 pentru a evita detectarea.
Scriptul decodificat adaugă mai întâi căi de excludere în Microsoft Defender pentru directorul curent de lucru și folderul temporar Windows, ocolind protecțiile antivirus. Apoi stabilește o conexiune TCP brută către infrastructura controlată de atacatori și recuperează payload-uri adiționale.
Analiza a relevat că fișierul binar descărcat este un malware bazat pe Rust, compactat cu UPX, care încorporează tehnici anti-analiză, inclusiv verificări runtime concepute pentru a împiedica inspecția. VulnCheck a identificat multiple adrese IP sursă ale atacului: 65.109.182.231, 223.6.249.141 și 134.209.69.155, cu infrastructura de payload găzduită la 8.218.43.248 și 47.86.33.195.
Măsuri de atenuare
Organizațiile sunt îndemmnate să facă upgrade la versiunea 20.0.0 sau ulterioară a React Native CLI, care conține patch-ul de securitate. Dezvoltatorii pot verifica pachetele vulnerabile rulând comanda npm list @react-native-community/cli-server-api în folderele proiectelor lor.
Cercetătorii de securitate recomandă restricționarea accesului la rețea pentru serverele Metro, implementarea de firewall-uri bazate pe gazdă și să nu expună niciodată mediile de dezvoltare la rețele care nu sunt de încredere. VulnCheck a adăugat CVE-2025-11953 în catalogul său Known Exploited Vulnerabilities în aceeași zi în care a detectat exploatarea vulnerabilității.
Surse:
Hackers Actively Exploit React Native Metro Server Flaw to Target Developers in the Wild