Redis reprezintă o problemă gravă care afectează mii de instanțe expuse pe internet: o vulnerabilitate critică din modulul Lua permite unui atacator autentificat să execute cod la distanță pe serverele Redis. Defectul are origini vechi, cod scris acum aproximativ 13 ani, însă impactul este actual, având în vedere utilizarea pe scară largă a Redis în cloud.
Pe scurt, Redis este un magazin de structuri de date folosit ca bază de date, cache și message broker; rulează în memorie pentru acces rapid și se găsește în circa 75% din mediile cloud. Problema identificată ca CVE-2025-49844 este un use-after-free în modulul care rulează scripturi Lua, funcționalitate activă implicit în multe distribuții Redis. Cercetătorii Wiz, care au prezentat descoperirea la Pwn2Own Berlin în mai 2025 și au denumit exploit-ul RediShell, au demonstrat cum un script Lua special construit poate ocoli sandbox-ul, declanșa use-after-free și stabili un reverse shell, practic o cale pentru rularea de cod la distanță pe gazdă.
Un atac reușit permite atacatorului să sustragă credențiale, să instaleze malware sau programe de minare a criptomonedei, să extragă date sensibile din Redis, să se miște lateral în rețeaua victimei sau să folosească informațiile furate pentru a accesa alte servicii cloud. Wiz avertizează că, odată ce atacatorul obține acces, are control complet asupra sistemului gazdă, putând exfiltra, șterge sau cripta date, prelua resurse și facilita mișcări laterale în mediile cloud.
Deși atacul necesită inițial acces autentificat la instanța Redis, scanările arată cifre alarmante: aproximativ 330.000 de instanțe Redis expuse online, dintre care cel puțin 60.000 nu solicită autentificare. Redis Technologies și Wiz au publicat vineri actualizări de securitate și solicită administratorilor aplicarea imediată a patch-urilor, cu prioritate pentru instanțele accesibile din internet. Versiunile afectate cuprind practic toate release-urile Redis; corecțiile au fost publicate în mai multe serii de versiuni, printre care 7.22.2-12 și ulterioare, 7.8.6-207 și ulterioare, 7.4.6-272 și ulterioare, 7.2.4-138 și ulterioare, precum și în branch-urile OSS/CE/Stack (de ex. OSS/CE 8.2.2+, 8.0.4+ etc.).
Pe lângă instalarea patch-urilor, măsurile recomandate de securizare includ activarea autentificării, dezactivarea scriptingului Lua și a comenzilor nefolosite, rularea Redis sub un cont non-root, activarea logging-ului și a monitorizării, restricționarea accesului doar la rețele autorizate și implementarea controalelor la nivel de rețea cu firewall-uri sau VPC-uri. Aceste măsuri reduc suprafața de atac și limitează impactul unei eventuale exploatări.
Istoricul atacurilor asupra instanțelor Redis nu este nou: botnet-uri și mai multe familii de malware vizează de mult servere Redis expuse pentru a instala minereuri de criptomonede sau ransomware. Un exemplu notabil este P2PInfect din iunie 2024, care a instalat software de minare pentru Monero și a adăugat un modul de ransomware pe servere Redis neprotejate. Alte campanii au implicat Redigo, HeadCrab și Migo, care au dezactivat măsuri de protecție și au folosit instanțele compromise pentru minare.
RediShell (CVE-2025-49844) afectează toate versiunile Redis din cauza problemei din interpretatorul Lua. Cu sute de mii de instanțe expuse și configurații implicite nesigure, această amenințare devine o urgență pentru organizații din toate sectoarele. Actualizările lansate vineri includ remedieri pentru diverse linii de release; administratorii trebuie să le aplice și să verifice setările de autentificare și acces pentru a micșora riscul de exploatare.
Datele esențiale sunt clare: CVE-2025-49844 are scor CVSS 10.0, există aproximativ 330.000 de instanțe expuse, cel puțin 60.000 fără autentificare, iar remedierile au fost publicate în versiunile menționate anterior. Exemple istorice, precum atacurile P2PInfect din 2024 sau campaniile cu Redigo și HeadCrab, ilustrează consecințele posibile dacă serverele rămân neprotejate.
RediShell evidențiază două aspecte esențiale: importanța unor configurații implicite sigure și aplicarea rapidă a patch-urilor, și riscul componentelor vechi din stiva software care, deși funcționează de ani, pot ascunde defecte critice. Administrarea sigură în cloud implică nu doar actualizări, ci și dezactivarea funcționalităților nefolosite (de exemplu Lua scripting), monitorizare continuă și politici stricte de acces. Dacă folosiți Redis în producție, verificați versiunea și setările și prioritizați actualizarea imediat.
V-ați verificat instanțele Redis astăzi?
Fii primul care comentează