文章总结： VulnCheck报告揭示Metro开发服务器Metro4Shell漏洞CVE-2025-11953自2025年12月下旬已被积极利用，远早于公众认知。攻击者通过蜜罐网络持续投放针对Windows和Linux的高级恶意载荷，利用暴露的开发基础设施作为初始访问途径。事件警示开发工具一旦联网即变为生产环境风险，建议组织立即修补漏洞而非等待官方警报，避免给攻击者可乘之机。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,安全运营,网络安全,应急响应

“Metro4Shell”漏洞自12月以来已被广泛利用

原创

hackernews hackernews

暗镜

2026年2月9日 09:00 北京

VulnCheck 的一份新报告显示，Metro 开发服务器“Metro4Shell”中的一个严重漏洞CVE-2025-11953早在 2025 年 12 月下旬就被积极地用于攻击——远早于它引起主流关注的时间。

研究结果揭示了攻击者速度与防御者意识之间存在的危险差距。截至1月下旬，公众舆论大多将此漏洞视为“理论上的风险”。但实际上，它早已成为一种实际存在的入侵途径。

VulnCheck 的“金丝雀”网络（旨在及早发现漏洞利用的蜜罐）当场抓住了攻击者。报告证实，“VulnCheck 金丝雀在 12 月下旬观察到了对 CVE-2025-11953 的利用”。

至关重要的是，这并非偶然的扫描仪或研究人员的随意探测。遥测数据显示“在多个日期持续进行有效载荷投放，而非一次性的探测或研究活动”。

攻击者投放了专门针对 Windows 系统的高级恶意载荷。这表明“Metro4Shell 在暴露于公共互联网时，提供了一种实用的初始访问机制”。

VulnCheck追踪到攻击源自特定的基础设施集群。攻击源自包括65.109.182.231、223.6.249.141和134.209.69.155在内的IP地址。

这些有效载荷本身——分别被命名为“windows”和“linux”——托管在不同的服务器上，这表明这是一次针对多个操作系统的预谋行动。

Metro4Shell事件给我们带来的最主要启示，是它对互联网资产本质的深刻警示。软件的意图 并不重要，重要的是它的可访问性。

正如该报告精辟地总结道：“开发基础设施一旦可以访问，无论意图如何，就会变成生产基础设施”。

组织机构应立即停止等待官方发布“已知已利用漏洞”（KEV）警报，立即修补存在漏洞的开发工具。以 CVE-2025-11953 为例，等待共识意味着让攻击者抢占了一个月的先机。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 hackernews hackernews《“Metro4Shell”漏洞自12月以来已被广泛利用》