漏洞利用详情
攻击者正在积极利用React Native CLI Metro服务器中的高危漏洞(CVE-2025-11953)。该漏洞存在于React Native CLI的Metro开发服务器中,该服务器默认绑定外部接口并暴露命令注入缺陷。未经认证的攻击者可发送POST请求执行任意程序,在Windows系统上还能运行参数完全可控的shell命令。
安全公告指出:"由React Native社区CLI启动的Metro开发服务器默认会绑定外部接口。该服务器暴露的端点存在操作系统命令注入漏洞,使得未经认证的网络攻击者能够向服务器发送POST请求并运行任意可执行文件。在Windows系统上,攻击者还能执行参数完全可控的任意shell命令。"
攻击活动分析
Metro是React Native使用的JavaScript打包工具和开发服务器,默认配置会暴露端点,允许攻击者在Windows系统上执行操作系统命令。
VulnCheck研究人员发现,在漏洞被广泛披露前数周就已出现持续的实际攻击案例。该机构于2025年12月21日首次观测到CVE-2025-11953(又称Metro4Shell)的实际利用,随后在2026年1月再次发现攻击活动,表明攻击者持续利用该漏洞。尽管存在这些攻击,该漏洞仍未引起广泛关注,EPSS(漏洞利用预测评分系统)评分仅为0.00405。
VulnCheck发布的公告强调:"在首次野外利用一个多月后,这些攻击活动仍未获得广泛认知。这种已观测到的利用与普遍认知之间的差距值得警惕,特别是对于易于利用且暴露在公共互联网上的漏洞。"
恶意软件技术细节
VulnCheck确认CVE-2025-11953存在持续活跃的利用行为,表明攻击者已将其投入实际攻击而非测试。攻击者通过cmd.exe投递多阶段Base64编码的PowerShell加载器,禁用Microsoft Defender防护,通过原始TCP获取有效载荷,最终执行下载的二进制文件。该恶意软件为UPX压缩的Rust程序,具备基础的反分析功能。
专家指出,攻击者连续数周重复使用相同的基础设施和技术手段。VulnCheck警告称,缺乏公开认知可能导致防御者准备不足,因为漏洞利用往往远早于官方确认时间。
攻击网络基础设施
以下是涉及的网络基础设施:
| 威胁指标 | 观测角色 |
|---|---|
| 65.109.182.231 | 漏洞利用源 |
| 223.6.249.141 | 漏洞利用源 |
| 134.209.69.155 | 漏洞利用源 |
| 8.218.43.248 | 有效载荷托管(Windows) |
| 47.86.33.195 | 有效载荷托管(Windows/Linux) |
报告总结道:"CVE-2025-11953的重要性不在于其存在本身,而在于它再次印证了一个防御者需要不断重新认识的模式------可被访问的开发基础设施即刻就会成为生产基础设施,无论其初衷如何。"