Kritische React Native Metro-Lücke (CVE-2025-11953) in Entwicklersystemen ausgenutzt

React Native Metro-Server-Schwachstelle in gezielten Angriffen ausgenutzt

Sicherheitsforscher haben die aktive Ausnutzung von CVE-2025-11953 bestätigt – einer kritischen Schwachstelle im Metro-Server von React Native, die es Angreifern ermöglicht, Entwicklersysteme mit Windows- und Linux-Malware zu kompromittieren.

Wichtige Details

• Schwachstelle: CVE-2025-11953 (CVSS-Score ausstehend)
• Betroffene Komponente: Metro-Server (JavaScript-Bundler von React Native)
• Angriffsvektor: Remote Code Execution (RCE) über manipulierte Anfragen
• Zielplattformen: Windows- und Linux-Entwicklungsumgebungen
• Entdeckung: Gemeldet vom Sicherheitsunternehmen SonarSource im Februar 2025

Technische Analyse

Die Schwachstelle resultiert aus einer unzureichenden Eingabevalidierung im HTTP-Server von Metro, der standardmäßig während der React Native-App-Entwicklung auf localhost:8081 lauscht. Angreifer können diese Lücke ausnutzen, indem sie speziell präparierte Anfragen an den Server senden, Sicherheitskontrollen umgehen und beliebigen Code mit den Berechtigungen des Metro-Prozesses ausführen.

Voraussetzungen für die Ausnutzung:

• Der Metro-Server muss laufen (häufig während der App-Entwicklung der Fall)
• Der Angreifer benötigt Netzwerkzugriff auf das Zielsystem (z. B. über kompromittierte Abhängigkeiten oder Phishing)

Auswirkungen und Risiken

1. Bedrohung der Lieferkette: Kompromittierte Entwicklersysteme können zu bösartiger Code-Injektion in React Native-Anwendungen führen und damit potenziell nachgelagerte Nutzer gefährden.
2. Laterale Bewegung: Angreifer könnten von kompromittierten Entwicklungsumgebungen auf Produktionssysteme oder Unternehmensnetzwerke übergreifen.
3. Datendiebstahl: Sensibles geistiges Eigentum, API-Schlüssel oder in Entwicklungsumgebungen gespeicherte Anmeldedaten sind gefährdet.

Maßnahmen und Empfehlungen

Sicherheitsteams und Entwickler sollten umgehend handeln:

1. Patch-Management:

   • Aktualisieren Sie auf die neueste React Native-Version (Patch veröffentlicht am 5. März 2025).
   • Wenden Sie die vom React Native-Team bereitgestellten Metro-Server-Sicherheitsupdates an.

2. Workarounds:

   • Deaktivieren Sie den Metro-Server, wenn er nicht aktiv genutzt wird.
   • Beschränken Sie den Zugriff auf localhost:8081 über Firewall-Regeln oder Netzwerksegmentierung.

3. Überwachung:

   • Setzen Sie EDR/XDR-Lösungen ein, um anomale Prozessausführungen auf Entwickler-Workstations zu erkennen.
   • Überwachen Sie ungewöhnliche ausgehende Verbindungen aus Entwicklungsumgebungen.

4. Sichere Entwicklungspraktiken:

   • Überprüfen Sie Drittanbieter-Abhängigkeiten auf Anzeichen einer Kompromittierung.
   • Erzwingen Sie den Grundsatz der geringsten Berechtigungen für Entwicklungstools.

Indikatoren für eine Kompromittierung (IOCs)

Obwohl spezifische IOCs noch nicht öffentlich sind, sollten Unternehmen folgende Punkte untersuchen:

• Unerwartete Prozesse, die von node.exe oder metro auf Windows-/Linux-Systemen gestartet werden.
• Verdächtiger Netzwerkverkehr von/zu localhost:8081.
• Unautorisierte Änderungen an React Native-Projektdateien.

Hinweis: CVE-2025-11953 unterstreicht den wachsenden Trend, Entwicklungstools als Einfallstor für Lieferkettenangriffe zu nutzen. Sicherheitsteams sollten die Härtung von Entwicklungsumgebungen neben Produktionssystemen priorisieren.