Aanvallers misbruiken actief een kritieke kwetsbaarheid in de Metro-server van React Native om ontwikkelomgevingen binnen te dringen. Het lek, CVE-2025-11953, stelt kwaadwillenden in staat om via blootgestelde ontwikkelservers code uit te voeren op Windows- en Linuxsystemen.
Metro is de standaard JavaScript-bundler van React Native tijdens het ontwikkelen en testen van applicaties. In veel opstellingen draait deze server lokaal, maar standaard kan Metro zich ook binden aan externe netwerkinterfaces. Daarbij worden HTTP-eindpunten beschikbaar gesteld die bedoeld zijn voor ontwikkeling. Juist die functionaliteit vormt nu een aanvalsvector, meldt BleepingComputer.
Onderzoekers ontdekten dat het /open-url-eindpunt POST-verzoeken accepteert met een aangeleverde URL die zonder controle wordt doorgegeven aan een interne functie. Daardoor kan een aanvaller op Windows willekeurige systeemcommando’s uitvoeren zonder authenticatie. Op Linux en macOS is het mogelijk uitvoerbare bestanden te starten, met beperkte controle over parameters.
Het probleem treft versies van de @react-native-community/cli-server-api vanaf 4.8.0 tot en met 20.0.0-alpha.2. De kwetsbaarheid is verholpen in versie 20.0.0 en nieuwer, maar veel ontwikkelomgevingen blijken nog kwetsbaar.
Kort na de bekendmaking verschenen meerdere proof-of-concept exploits. Daarna werd waargenomen dat een dreigingsactor de kwetsbaarheid daadwerkelijk gebruikte. Dezelfde aanvalstechniek werd op meerdere momenten ingezet, met identieke payloads gericht op Windows en Linux.
Bij deze aanvallen wordt een base64-gecodeerde PowerShell-payload verstopt in de body van een HTTP POST-verzoek naar een blootgesteld Metro-eindpunt. Na decodering schakelt de payload beveiliging uit door uitzonderingen toe te voegen aan Microsoft Defender voor de werkmap en de tijdelijke map. Vervolgens wordt een TCP-verbinding opgezet met infrastructuur van de aanvaller, waarvandaan extra malware wordt opgehaald.
De bestanden worden in de tijdelijke map opgeslagen en direct uitgevoerd met een lange reeks parameters. De Windows-variant is geschreven in Rust en gecomprimeerd met UPX, met eenvoudige technieken om analyse te bemoeilijken. Op dezelfde servers stond ook een Linux-binary, wat aangeeft dat beide platformen doelwit zijn.
Duizenden Metro-servers bereikbaar
Volgens recente scans zijn wereldwijd duizenden Metro-servers via internet bereikbaar. Dit zijn vaak ontwikkelomgevingen die nooit publiek bedoeld waren. Dat maakt deze kwetsbaarheid aantrekkelijk, omdat ontwikkelsystemen vaak minder streng beveiligd zijn en toch toegang hebben tot broncode, sleutels en interne netwerken.
Opvallend is dat de kwetsbaarheid ondanks actieve uitbuiting laag scoort in het Exploit Prediction Scoring System, dat de kans op misbruik inschat. Onderzoekers benadrukken dat organisaties zich niet moeten laten leiden door zulke scores en niet moeten wachten op officiële lijsten voordat zij actie ondernemen.
In het onderzoek zijn indicatoren van compromittering gepubliceerd waarmee organisaties kunnen nagaan of systemen zijn misbruikt. Gezien de eenvoud van de aanval en het grote aantal blootgestelde servers blijft deze kwetsbaarheid voorlopig interessant voor aanvallers die zich richten op ontwikkelaars en hun omgevingen.