Aktívan kihasználják a React Native sérülékenységét

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Bizonyos támadók már december vége óta aktívan kihasználnak egy kritikus súlyosságú, React Native-et érintő sérülékenységet. A CVE-2025-11953 azonosítón nyomon követett sebezhetőség (CVSS pontszám: 9.8) a React Native Community CLI NPM csomagját érinti. Bár a sérülékenység november elején nyilvánoságra került, a biztonsági közösség jelentős része sokáig inkább elméleti kockázatként tekintett rá.

A React Native Community CLI egy parancssori eszközkészlet, amelyet a React Native alkalmazások fejlesztésének támogatására használnak.

A VulnCheck elemzése szerint ez a megközelítés félrevezetőnek bizonyult. A vállalat már december 21-én észlelte az első kihasználási kísérleteket, majd január elején és közepén további, folyamatos aktivitásra utaló jeleket figyelt meg. Mindez arra utal, hogy a sérülékenységet aktívan kihasználják támadási kampányok során. A becslések szerint világszerte több ezer, internet felől elérhető React Native példány lehet érintett.

A VulnCheck szerint a probléma gyökere a Metro komponensben található, amely a React Native alkalmazások fejlesztési és tesztelési fázisában használt JavaScript bundler és fejlesztői szerver.

Alapértelmezett konfiguráció mellett a Metro képes külső hálózati interfészekhez is kapcsolódni, ami lehetőséget ad nem hitelesített, távoli parancsvégrehajtásra egyszerű HTTP POST kéréseken keresztül. Bár az ilyen jellegű, fejlesztői kiszolgálókat érintő sérülékenységeket hagyományosan csak lokális környezetben tekintik kihasználhatónak, egy további React Native konfigurációs probléma révén ezek a szerverek külső támadók számára is elérhetővé válhatnak.

A VulnCheck megfigyelései szerint a támadók egy többlépcsős, PowerShell-alapú betöltőt alkalmaznak. A támadási lánc első lépése a Microsoft Defender védelmi funkcióinak letiltása, ezt követi egy nyers TCP-kapcsolat létrehozása a támadók infrastruktúrájával. Ezután egy további kártékony payload letöltése és futtatása történik. A végső komponens Rust nyelven készült, alapvető kódelemzést nehezítő mechanizmusokat tartalmaz, valamint Windows és Linux rendszereket egyaránt céloz.

A VulnCheck szerint az eset egy visszatérő, rendszerszintű problémára világít rá. Amint egy fejlesztési célú infrastruktúra hálózaton keresztül elérhetővé válik, gyakorlatilag éles rendszerré alakul, függetlenül az eredeti rendeltetésétől.

(forrás, forrás)