Зачем ломать, если есть @fs? Уязвимость в Vite показывает, как не надо настраивать сервер
NewsMakerХакеры начали массово использовать уязвимость в инструменте Vite для кражи данных.
Злоумышленники начали активно охотиться за неправильно настроенными серверами разработчиков и пытаются вытянуть оттуда конфиденциальные данные. Под удар попал популярный инструмент для создания веб-интерфейсов – Vite.
Специалисты центра мониторинга SANS Internet Storm Center заметили в своих ловушках характерные запросы. Все они выглядели примерно одинаково и содержали необычный путь с префиксом «/@fs/» и окончанием «?raw??». Среди примеров – попытки добраться до системных файлов вроде /etc/environment или учётных данных облачных сервисов.
Такие запросы напрямую связаны с уязвимостью CVE-2025-30208 , о которой рассказали летом прошлого года. Проблема затрагивает встроенную функцию «@fs» – механизм, который позволяет получать файлы с сервера во время разработки. В нормальной конфигурации доступ ограничен заданными каталогами, но добавление специального суффикса «??raw?» позволяет обойти ограничения и скачать практически любой файл.
Злоумышленники используют этот трюк, чтобы вытащить конфигурационные файлы и секреты, например ключи доступа к облачным сервисам. Хотя сам инструмент обычно работает на порту 5173 и должен быть доступен только локально, на практике такие установки нередко оказываются открытыми в интернет.
Любопытно, что атаки идут не только на стандартный порт Vite. Многие запросы приходят через обычные веб-порты, что говорит о попытках найти уязвимые серверы в более широком диапазоне.
Сама проблема выглядит простой, но последствия могут оказаться серьёзными. Если сервер разработки доступен извне и не настроен должным образом, злоумышленник может получить доступ к чувствительным данным без особых усилий.
Злоумышленники начали активно охотиться за неправильно настроенными серверами разработчиков и пытаются вытянуть оттуда конфиденциальные данные. Под удар попал популярный инструмент для создания веб-интерфейсов – Vite.
Специалисты центра мониторинга SANS Internet Storm Center заметили в своих ловушках характерные запросы. Все они выглядели примерно одинаково и содержали необычный путь с префиксом «/@fs/» и окончанием «?raw??». Среди примеров – попытки добраться до системных файлов вроде /etc/environment или учётных данных облачных сервисов.
Такие запросы напрямую связаны с уязвимостью CVE-2025-30208 , о которой рассказали летом прошлого года. Проблема затрагивает встроенную функцию «@fs» – механизм, который позволяет получать файлы с сервера во время разработки. В нормальной конфигурации доступ ограничен заданными каталогами, но добавление специального суффикса «??raw?» позволяет обойти ограничения и скачать практически любой файл.
Злоумышленники используют этот трюк, чтобы вытащить конфигурационные файлы и секреты, например ключи доступа к облачным сервисам. Хотя сам инструмент обычно работает на порту 5173 и должен быть доступен только локально, на практике такие установки нередко оказываются открытыми в интернет.
Любопытно, что атаки идут не только на стандартный порт Vite. Многие запросы приходят через обычные веб-порты, что говорит о попытках найти уязвимые серверы в более широком диапазоне.
Сама проблема выглядит простой, но последствия могут оказаться серьёзными. Если сервер разработки доступен извне и не настроен должным образом, злоумышленник может получить доступ к чувствительным данным без особых усилий.