Metro4Shell: Lỗ hổng RCE nghiêm trọng liên quan React Native CLI

[WhiteHat Team]

Metro Development Server, một thành phần quen thuộc trong hệ sinh thái React Native, đang trở thành điểm xâm nhập trong các cuộc tấn công thực tế thông qua một lỗ hổng thực thi mã từ xa nghiêm trọng. Theo VulnCheck, hoạt động khai thác đã được ghi nhận từ ngày 21/12/2025, cho thấy lỗ hổng này không còn nằm trên giấy mà đã được đưa vào chuỗi tấn công thực tế.
​

Lỗ hổng được gán mã CVE-2025-11953, còn được gọi là Metro4Shell, đạt điểm CVSS 9.8. Lỗ hổng cho phép kẻ tấn công từ xa thực thi trực tiếp các lệnh hệ điều hành trên máy chủ chạy Metro Dev Server mà không cần xác thực.

CVE-2025-11953 bắt nguồn từ cơ chế xác thực đầu vào không đầy đủ tại endpoint /open-url của Metro Dev Server. Dữ liệu do người dùng kiểm soát được chuyển thẳng vào hàm open() không an toàn mà không qua xử lý, mở đường cho tấn công thực thi mã từ xa. Lỗ hổng ảnh hưởng đến gói npm @react-native-community/cli trên diện rộng, từ phiên bản 4.8.0 đến 20.0.0-alpha.2. Theo VulnCheck, dù các chi tiết kỹ thuật đã được JFrog công bố từ tháng 11/2025 và hoạt động khai thác đã xuất hiện ngoài thực tế hơn một tháng, nhưng mối đe dọa này vẫn chưa nhận được sự quan tâm tương xứng từ cộng đồng.

Trong các cuộc tấn công được VulnCheck phát hiện thông qua hệ thống honeypot, kẻ tấn công đã lợi dụng lỗ hổng để chạy một script PowerShell được mã hóa Base64. Script này, sau khi được giải mã và thực thi, sẽ chỉnh cấu hình Microsoft Defender Antivirus để bỏ qua việc quét thư mục đang làm việc và thư mục tạm của người dùng, cụ thể là “C:\Users<Username>\AppData\Local\Temp”, từ đó tạo điều kiện cho các tệp độc hại được tải xuống và thực thi trên hệ thống.

Script PowerShell sau đó thiết lập một kết nối TCP thô tới máy chủ do kẻ tấn công kiểm soát tại địa chỉ 8.218.43[.]248 trên cổng 60124. Thông qua kết nối này, mã độc gửi yêu cầu tải thêm dữ liệu, ghi xuống một tệp trong thư mục tạm và thực thi trực tiếp trên hệ thống nạn nhân. Payload được tải về là một tệp nhị phân viết bằng Rust, được tích hợp các cơ chế chống phân tích nhằm cản trở việc kiểm tra tĩnh và phân tích ngược.

VulnCheck cũng xác định một số địa chỉ IP liên quan trực tiếp đến hoạt động tấn công, bao gồm 5.109.182[.]231, 223.6.249[.]141 và 134.209.69[.]155. Đáng chú ý, các payload được triển khai có mức độ nhất quán cao trong suốt nhiều tuần, cho thấy đây là một chiến dịch đang được vận hành thực tế, thay vì hoạt động dò quét lỗ hổng hay thử nghiệm proof-of-concept đơn lẻ.

Theo VulnCheck, CVE-2025-11953 không chỉ đơn thuần là một lỗ hổng thực thi mã từ xa. Việc lỗ hổng này bị khai thác lặp lại trong nhiều tuần, với payload và hạ tầng tấn công nhất quán, cho thấy Metro Dev Server đã trở thành một bề mặt tấn công thực tế, vượt ra ngoài phạm vi dò quét hoặc thử nghiệm proof-of-concept. Các đơn vị đang vận hành React Native CLI cần rà soát các hệ thống đang cho phép truy cập Metro Dev Server từ Internet, cập nhật bản vá hoặc áp dụng biện pháp giảm thiểu phù hợp, đồng thời loại bỏ hoặc cô lập các dịch vụ development không cần thiết khỏi các hệ thống đang vận hành để giảm thiểu rủi ro.
​

Theo The Hacker News​