긴급: React Native Metro 취약점(CVE-2025-11953) 악용된 개발 시스템 침해 사태

React Native Metro 서버 취약점, 표적 공격으로 악용 확인

보안 연구진들은 React Native의 Metro 서버에 존재하는 심각한 취약점 CVE-2025-11953이 악용되어 위협 행위자들이 개발자 시스템을 공격해 윈도우 및 리눅스 멀웨어를 유포하고 있음을 확인했습니다.

주요 정보

• 취약점: CVE-2025-11953 (CVSS 점수 미확정)
• 영향받는 구성 요소: Metro 서버 (React Native의 JavaScript 번들러)
• 공격 벡터: 조작된 요청을 통한 원격 코드 실행(RCE)
• 대상 플랫폼: 윈도우 및 리눅스 개발 환경
• 발견: 보안 업체 SonarSource가 2025년 2월에 보고

기술적 분석

이 취약점은 React Native 앱 개발 중 기본적으로 localhost:8081에서 실행되는 Metro의 HTTP 서버에서 입력 값 검증이 제대로 이루어지지 않아 발생합니다. 공격자는 서버로 특수하게 조작된 요청을 전송해 보안 제어를 우회하고, Metro 프로세스의 권한으로 임의 코드를 실행할 수 있습니다.

공격 조건:

• Metro 서버가 실행 중이어야 함 (앱 개발 중 흔히 발생)
• 공격자가 대상 시스템에 네트워크 접근 권한을 보유해야 함 (예: 악성 의존성 또는 피싱을 통한 접근)

영향 및 위험성

1. 공급망 위협: 개발자 시스템이 침해되면 React Native 애플리케이션에 악성 코드 주입이 가능해지며, 이는 최종 사용자에게까지 영향을 미칠 수 있습니다.
2. 횡적 이동: 공격자는 침해된 개발 환경에서 생산 시스템이나 기업 네트워크로 이동할 수 있습니다.
3. 데이터 유출: 개발 환경에 저장된 지적 재산, API 키, 또는 인증 정보가 유출될 위험이 있습니다.

대응 및 권고 사항

보안 팀과 개발자는 즉각적인 조치를 취해야 합니다:

1. 패치 관리:

   • 최신 React Native 버전으로 업데이트 (2025년 3월 5일 배포된 패치 적용).
   • React Native 팀에서 제공하는 Metro 서버 보안 업데이트 적용.

2. 임시 조치:

   • Metro 서버를 사용하지 않을 때는 비활성화.
   • 방화벽 규칙 또는 네트워크 세분화를 통해 localhost:8081 접근 제한.

3. 모니터링:

   • 개발자 워크스테이션에서 비정상적인 프로세스 실행을 탐지하기 위해 EDR/XDR 솔루션 배포.
   • 개발 환경에서 발생하는 비정상적인 아웃바운드 연결 모니터링.

4. 안전한 개발 관행:

   • 타사 의존성에 대한 보안 감사 수행.
   • 개발 도구에 대한 최소 권한 접근 원칙 적용.

침해 지표(IOC)

현재 구체적인 IOC는 공개되지 않았지만, 다음 사항을 조사해야 합니다:

• 윈도우/리눅스 시스템에서 node.exe 또는 metro에 의해 예기치 않게 생성된 프로세스.
• localhost:8081으로의 의심스러운 네트워크 트래픽.
• React Native 프로젝트 파일의 무단 수정.

참고: CVE-2025-11953은 개발자 도구를 표적으로 한 공급망 공격이 증가하고 있음을 보여줍니다. 보안 팀은 생산 시스템과 함께 개발 환경의 보안 강화에도 우선순위를 두어야 합니다.