漏洞利用详情
攻击者正在积极利用 React Native CLI Metro 服务器中的一个高危漏洞(CVE-2025-11953)。这个漏洞存在于 React Native CLI 的 Metro 开发服务器中,该服务器默认会绑定外部接口,并暴露了一个命令注入缺陷。
这意味着,未经身份验证的攻击者可以发送一个特制的 POST 请求,从而在目标系统上执行任意程序。更危险的是,在 Windows 系统上,攻击者甚至能运行参数完全可控的任意 shell 命令。
正如安全公告中所指出的:“由 React Native 社区 CLI 启动的 Metro 开发服务器默认会绑定外部接口。该服务器暴露的端点存在操作系统命令注入漏洞,使得未经认证的网络攻击者能够向服务器发送 POST 请求并运行任意可执行文件。在 Windows 系统上,攻击者还能执行参数完全可控的任意 shell 命令。”
攻击活动分析
Metro 是 React Native 框架使用的 JavaScript 打包工具和开发服务器。然而,其默认配置会暴露这些端点,为攻击者,尤其是在 Windows 系统上执行操作系统命令敞开了大门。
安全研究机构 VulnCheck 发现了一个值得警惕的现象:在该漏洞被广泛公开披露之前数周,就已经出现了持续的实际攻击案例。该机构于 2025 年 12 月 21 日首次观测到 CVE-2025-11953(也被称为 Metro4Shell)的实际利用。随后在 2026 年 1 月,他们再次发现了利用此漏洞的攻击活动,这表明攻击者一直在持续利用该漏洞。
尽管存在这些真实的攻击,这个漏洞却仍未引起广泛的关注。其 EPSS(漏洞利用预测评分系统)评分仅为 0.00405,处于非常低的水平。
VulnCheck 在公告中强调:“在首次野外利用一个多月后,这些攻击活动仍未获得广泛认知。这种已观测到的利用与普遍认知之间的差距值得警惕,特别是对于易于利用且暴露在公共互联网上的漏洞。”
恶意软件技术细节
VulnCheck 确认,CVE-2025-11953 存在持续且活跃的利用行为,这清楚地表明攻击者已将其投入实际攻击,而不仅仅是进行测试。
攻击流程是怎样的呢?攻击者通过 cmd.exe 投递了一个多阶段的、经过 Base64 编码的 PowerShell 加载器。这个加载器会禁用 Microsoft Defender 的防护,然后通过原始的 TCP 连接获取最终的有效载荷,并执行下载的二进制文件。
经分析,这个最终的恶意软件是一个经过 UPX 压缩的 Rust 程序,具备一些基础的反分析功能。专家指出,攻击者在连续数周的攻击中,重复使用了相同的基础设施和技术手段。
VulnCheck 警告称,这种缺乏公开认知的情况,可能导致防御者准备不足。因为现实情况往往是,漏洞被利用的时间点,远早于官方确认和广泛预警的时间。
攻击网络基础设施
以下是 VulnCheck 在报告中披露的,与此次攻击活动相关的网络基础设施:
报告最后总结道:“CVE-2025-11953 的重要性不在于其存在本身,而在于它再次印证了一个防御者需要不断重新认识的模式——可被访问的开发基础设施即刻就会成为生产基础设施,无论其初衷如何。”
对于开发者社区而言,这起事件是一个及时的提醒:即使是开发阶段的服务,如果暴露在外网且存在漏洞,也会迅速成为攻击者的目标。保持开发依赖的更新和安全配置检查至关重要。你可以在 云栈社区 的相关板块找到更多关于移动开发安全的最佳实践讨论。
参考来源:
Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure
https://securityaffairs.com/187587/hacking/hackers-abused-react-native-cli-flaw-to-deploy-rust-malware-before-public-disclosure.html
发表于 昨天 05:15
|
查看: 0|
回复: 0
