React Native: Kritische Sicherheitslücke Metro4Shell wird aktiv ausgenutzt

Eine schwerwiegende Schwachstelle im React-Native-Framework ermöglicht Angreifern die Übernahme von Entwickler-Systemen. Die als Metro4Shell bekannte Lücke wird seit Wochen aktiv für Cyberangriffe genutzt, warnt die Sicherheitsforschung. Betroffen sind Millionen von Entwicklungs-Umgebungen weltweit.

Die Sicherheitslücke mit der Kennung CVE-2025-11953 erreicht die höchste Gefahrenstufe von 9,8 auf der CVSS-Skala. Sie befindet sich im Metro-Entwicklungsserver, einem Kernbestandteil der React-Native-Kommandozeile. Angreifer können darüber ohne Authentifizierung beliebige Systembefehle auf den Rechnern von Entwicklern ausführen. Dies öffnet Tür und Tor für die Installation von Schadsoftware und tiefgreifende Netzwerk-Einbrüche.

So funktioniert der Metro4Shell-Angriff

Die Schwachstelle kombiniert eine unsichere Standardkonfiguration mit einem Fehler in der Verarbeitung von Anfragen. Standardmäßig kann der Metro-Server an externe Netzwerkschnittstellen gebunden werden. Damit wird ein reines Entwicklungswerkzeug unbeabsichtigt dem öffentlichen Internet ausgesetzt.

Der Kern des Angriffs liegt in einem offenen HTTP-Endpunkt namens „/open-url“. Angreifer senden eine speziell präparierte POST-Anfrage mit einer manipulierten URL. Der Server übergibt diese URL – ohne ausreichende Prüfung – direkt an die systemeigene „open()“‑Funktion. Das Ergebnis: Jeder Angreifer kann beliebige Befehle auf dem Zielsystem ausführen.

Passend zum Thema Entwickler‑Sicherheit: Viele Unternehmen sind auf solche Angriffe nicht vorbereitet – Studien zeigen, dass Angreifer gezielt Entwicklungsinfrastruktur ins Visier nehmen. Ein kostenloser Cyber‑Security‑Leitfaden erklärt praxisnah, welche technischen Kontrollen (Netzwerksegmentierung, sichere Server‑Konfigurationen, Monitoring) sofort wirken und wie Sie in wenigen Schritten Ihre Build‑ und Entwicklungsserver absichern. Enthalten sind Checklisten, Erkennungs‑Signaturen und Sofortmaßnahmen für DevOps‑Teams. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

In beobachteten Angriffen schleusten die Täter Base64-kodierte PowerShell-Skripte in die Anfragen ein. Diese mehrstufige Attacke zielt auf Tarnung und Persistenz ab. Das erste Skript deaktiviert gezielt Microsoft Defender für bestimmte Verzeichnisse. Anschließend baut es eine direkte TCP-Verbindung zu einem ferngesteuerten Server auf, um die finale Schadsoftware nachzuladen.

Hoch entwickelte Schadsoftware für Windows und Linux

Die über Metro4Shell verbreiteten Schadprogramme sind bemerkenswert ausgereift und plattformübergreifend. Sie zielen sowohl auf Windows- als auch Linux-Systeme ab. Ein analysiertes Final-Payload wurde in der Programmiersprache Rust geschrieben und enthält spezielle Anti-Analyse-Funktionen. Diese erschweren Sicherheitsforschern die Untersuchung und Reverse-Engineering erheblich.

Die methodische Vorgehensweise der Angreifer – insbesondere das gezielte Abschalten von Sicherheitssoftware vor dem Hauptdownload – deutet auf einen hoch professionellen Akteur hin. Die erfolgreiche Ausnutzung der Lücke verschafft den Tätern einen privilegierten Erstzugang zur Entwicklungs-Umgebung. Von dort aus können sie sich tief in Unternehmensnetzwerke vorarbeiten.

Die Lücke wurde ursprünglich von Forschern des Software-Lieferketten-Spezialisten JFrog entdeckt und Anfang November 2025 öffentlich gemacht. Kurz darauf tauchten erste Proof-of-Concept-Exploits im Internet auf. Dies senkte die Einstiegshürde für weitere kriminelle Gruppen erheblich.

Entwicklungs-Umgebungen im Fokus von Cyberkriminellen

Der Metro4Shell-Vorfall unterstreicht einen besorgniserregenden Trend: Angreifer richten ihr Augenmerk zunehmend auf die Software-Entwicklungsinfrastruktur. Entwicklungsserver, Kommandozeilen-Tools und Code-Bundler gelten oft als interne Werkzeuge. Sie unterliegen daher nicht derselben strengen Sicherheitsprüfung wie Produktivsysteme.

Doch wie diese Schwachstelle zeigt, kann eine unsichere Standardeinstellung diese Tools dem öffentlichen Internet aussetzen. Aus einer lokalen Verwundbarkeit wird so eine kritische Fernbedrohung. Die Lücke zwischen der ersten beobachteten Ausnutzung im Dezember und der breiten öffentlichen Wahrnehmung schuf ein gefährliches Zeitfenster. In dieser Phase blieben Tausende von internetzugänglichen React-Native-Instanzen wochenlang ungeschützt.

Die Sicherheitslücke erinnert eindringlich daran: Entwicklungsumgebungen sind lukrative Ziele. Sie bieten Angreifern potenziellen Zugriff auf Quellcode, Zugangsdaten und eine ideale Ausgangsposition für weitere Angriffe im Netzwerk.

So können sich Entwickler schützen

Der React-Native-Entwickler Meta hat bereits ein Update zur Behebung der Schwachstelle bereitgestellt. Betroffen sind die Versionen 4.8.0 bis 20.0.0-alpha.2 des Pakets @react-native-community/cli-server-api. Entwickler sollten dringend auf Version 20.0.0 oder höher aktualisieren.

Doch das Patchen allein reicht nicht aus. Der Vorfall liefert wichtige Lehren für Entwicklungs- und Sicherheitsteams:
* Entwicklungsserver sollten niemals an öffentlich zugängliche Netzwerkschnittstellen gebunden sein, es sei denn, dies ist zwingend erforderlich.
* Firewalls und Netzwerksegmentierung müssen den Zugriff auf Entwicklungstools auf autorisierte Nutzer und Systeme beschränken.
* Entwickler sollten ihre Server-Konfiguration überprüfen und sicherstellen, dass sie nicht unbeabsichtigt auf „0.0.0.0“ lauschen.

Unternehmen sollten zudem die Überwachung ihrer Entwicklungs-Umgebungen verstärken. Die in diesen Angriffen beobachtete Nutzung von PowerShell zur Umgehung von Sicherheitsvorkehrungen und zum Aufbau ausgehender TCP-Verbindungen sind klare Indikatoren für einen Kompromittierungsversuch.

Die Botschaft ist eindeutig: Angreifer verlagern ihren Fokus zunehmend auf den Software-Entwicklungslebenszyklus. Die Absicherung dieser sensiblen Umgebungen muss für jedes softwareentwickelnde Unternehmen oberste Priorität haben.

PS: Sie wollen Ihre Entwickler‑Systeme sofort besser schützen? Der Gratis‑Report zeigt konkrete Maßnahmen für DevOps‑ und Security‑Teams – von sicheren Standardkonfigurationen über Hardening‑Schritte für Server bis zu Monitoring‑Checklisten, die frühzeitig Indikatoren für Kompromittierungen melden. Ideal für kleine und mittlere Entwicklungsteams, die ohne große Budgets die Abwehr deutlich verbessern möchten. Gratis Cyber‑Security‑Report sichern