Peretas Eksploitasi Celah Kritis React Native Metro untuk Menyusup ke Sistem Developer
Peretas mulai aktif mengeksploitasi kerentanan kritis pada Metro server milik React Native untuk menembus sistem pengembang dan menyebarkan muatan berbahaya di Windows dan Linux. Celah keamanan yang dilacak sebagai CVE-2025-11953 ini memungkinkan penyerang menjalankan perintah sistem operasi dari jarak jauh tanpa autentikasi.
Metro merupakan JavaScript bundler bawaan React Native yang berperan penting dalam proses pengembangan aplikasi. Secara default, Metro dapat mengikat diri ke antarmuka jaringan eksternal dan membuka endpoint HTTP khusus pengembangan, yang seharusnya hanya digunakan secara lokal. Konfigurasi inilah yang kini dimanfaatkan oleh pelaku serangan.
Detail Kerentanan dan Dampaknya
Pada sistem Windows, celah ini memungkinkan penyerang mengeksekusi perintah OS arbitrer hanya dengan mengirimkan permintaan POST ke endpoint tertentu. Sementara itu, pada Linux dan macOS, kerentanan dapat dimanfaatkan untuk menjalankan berkas eksekusi dengan kontrol parameter terbatas.
Masalah inti berasal dari endpoint HTTP /open-url yang menerima permintaan POST berisi nilai URL dari pengguna. Nilai tersebut diteruskan langsung ke fungsi open() tanpa proses sanitasi yang memadai. Akibatnya, input berbahaya dapat digunakan untuk memicu eksekusi perintah atau program.
Kerentanan ini memengaruhi paket @react-native-community/cli-server-api mulai dari versi 4.8.0 hingga 20.0.0-alpha.2. Perbaikan resmi telah tersedia pada versi 20.0.0 dan yang lebih baru.
Eksploitasi Aktif di Dunia Nyata
Peneliti dari perusahaan intelijen kerentanan VulnCheck melaporkan bahwa eksploitasi aktif terhadap CVE-2025-11953 telah terdeteksi sejak 21 Desember 2025. Aktivitas serangan berlanjut setidaknya hingga awal dan pertengahan Januari, dengan muatan berbahaya yang sama terus dikirimkan ke target.
Eksploitasi ini dijuluki Metro4Shell dan dinilai sebagai metode initial access lintas platform yang efektif. Dalam setiap serangan yang diamati, penyerang mengirimkan payload PowerShell yang dikodekan dalam base64 dan disembunyikan di dalam body permintaan HTTP POST ke endpoint Metro yang terekspos.
Setelah didekode dan dijalankan, payload tersebut melakukan beberapa langkah berbahaya. Pertama, ia menonaktifkan perlindungan endpoint dengan menambahkan pengecualian pada Microsoft Defender untuk direktori kerja dan direktori sementara sistem. Selanjutnya, malware membuka koneksi TCP mentah ke infrastruktur penyerang untuk mengunduh payload tahap berikutnya.
Payload lanjutan ini kemudian disimpan sebagai berkas eksekusi di direktori sementara dan dijalankan dengan parameter panjang yang dikendalikan penyerang. Pada Windows, berkas tersebut berupa binary berbasis Rust yang dikompresi menggunakan UPX dan dilengkapi mekanisme anti-analisis dasar. Infrastruktur yang sama juga menyediakan binary untuk Linux, menegaskan bahwa serangan menargetkan kedua platform.
Ribuan Server Masih Terekspos
Pemindaian internet menunjukkan bahwa sekitar 3.500 server React Native Metro masih terekspos secara daring. Kondisi ini memperbesar potensi penyalahgunaan, terutama di lingkungan pengembangan yang sering kali kurang mendapat perhatian keamanan dibanding sistem produksi.
Menariknya, meskipun eksploitasi aktif telah berlangsung lebih dari sebulan, kerentanan ini masih memiliki skor rendah dalam sistem Exploit Prediction Scoring System. Hal tersebut berpotensi membuat sebagian organisasi menunda tindakan mitigasi, meski risiko nyata sudah terbukti.
Rekomendasi untuk Pengembang dan Organisasi
Peneliti menegaskan bahwa organisasi tidak dapat menunggu hingga adanya konsensus luas atau daftar eksploitasi resmi sebelum bertindak. Langkah paling penting adalah segera memperbarui paket React Native Metro ke versi yang telah ditambal.
Selain itu, pengembang disarankan untuk memastikan server Metro tidak terekspos ke jaringan publik, membatasi binding hanya ke localhost selama pengembangan, serta memantau indikator kompromi pada sistem yang berpotensi terdampak. Laporan teknis juga telah menyertakan indikator infrastruktur penyerang dan hash payload untuk membantu proses deteksi.
Kasus ini kembali menunjukkan bahwa lingkungan pengembangan menjadi target bernilai tinggi bagi peretas, dan celah kecil pada alat pengembang dapat berdampak besar jika tidak segera ditangani.
