Metro4Shellは、脆弱性につけられた別名です。
この脆弱性はCVE番号でいうところのCVE-2025-11953です。
この脆弱性は番号が示すように2025年につけられたものですが、現在すでに概念実証的な意味ではなく、実際の脅威で悪用されていることが確認されています。
Metro Development Serverというものがあります。
これはReact Nativeアプリケーション開発用の高性能なJavaScriptバンドラ(ビルドツール)です。
主にJavaScriptファイルを1つにまとめ、高速なリロード(Hot Reloading)を提供し、開発中のコード変更を即座にアプリに反映する役割を担います。
この環境を利用する際に脆弱性を含むソフトウェアがあり、結果的に認証されていないリモート攻撃者が単純なPOSTリクエストを介して任意のOSコマンドを実行できるようになります。
脆弱性が公表されて以降、何人もの研究者が概念実証のコードを作成し、公開し、警鐘を鳴らしてきていましたが、現時点においても脆弱性があるままの環境が多く存在しており、悪用されてしまっています。
この脆弱性に対策した安全なバージョンはすでに提供されていますので、それを適用することでこの脆弱性は恐怖ではなくなります。
しかし、適用されていない場合は安全ではありません。
もしかしたら、名前で不当に安全を感じている人が含まれているかもしれません。
この環境の名称はMetro Development Serverです。
はい、開発用サーバ、です。
しかし、待ってください。
開発用サーバだからといって、開発するためにしか利用できないわけではありません。
開発のために利用されているものでも、外部から到達可能な場所に設置されている状態の場合は、その仕組みは本番システムそのものなのです。
ありそうな別の方向性としては、開発としての利用はもう終息しているのだけれども開発環境を使用終了時にタイムリーに撤去していない、というのもあるのかもしれません。
いずれにしても、到達できる場所に脆弱なものがあれば、それは悪用することができてしまうのです。
抜け漏れのない資産管理と、その資産に対する適切なパッチケイデンス、やはりこの組み合わせが重要ということに思えます。
Metro4Shell: Exploitation of React Native’s Metro Server in the Wild
https://www.vulncheck.com/blog/metro4shell_eitw
| この記事をシェア |
|
|---|
