Tim za bezbjednost Redis-a objavio je zakrpe za ranjivost maksimalne težine koja napadačima može omogućiti udaljeno izvršavanje koda na hiljadama ranjivih instanci.
Redis (skraćeno od Remote Dictionary Server) je otvoreno-izvorna platforma za skladištenje podataka koja se koristi u oko 75% cloud okruženja. Funkcioniše kao baza podataka, keš i posrednik za poruke, čuvajući podatke u RAM-u radi izuzetno brzog pristupa.
Ranjivost (označena kao CVE-2025-49844) uzrokovana je 13 godina starom greškom „use-after-free“ pronađenom u Redis izvornom kodu, a može je iskoristiti autentifikovani haker pomoću posebno kreiranog Lua skripta (funkcija koja je podrazumijevano omogućena).
Uspješna eksploatacija omogućava napadaču da pobjegne iz Lua sandbox okruženja, izazove „use-after-free“ stanje, uspostavi reverse shell za trajni pristup i izvrši udaljeni kod na kompromitovanom Redis hostu.
Nakon kompromitovanja Redis servera, napadači mogu ukrasti akreditive, instalirati malver ili alate za rudarenje kriptovaluta, izvući osjetljive podatke, kretati se lateralno kroz mrežu žrtve ili koristiti ukradene informacije za pristup drugim cloud servisima.
„Ovo napadaču daje pun pristup sistemu domaćinu, omogućavajući mu da izvuče, obriše ili enkriptuje osjetljive podatke, preusmjeri resurse i olakša lateralno kretanje unutar cloud okruženja“, naveli su istraživači kompanije Wiz, koji su ranjivost prijavili na takmičenju Pwn2Own Berlin u maju 2025. godine i nazvali je RediShell.
Iako za uspješnu eksploataciju napadači moraju imati autentifikovan pristup Redis instanci, Wiz je pronašao oko 330.000 Redis instanci izloženih internetu, od kojih najmanje 60.000 ne zahtijeva autentifikaciju.
Redis i Wiz pozvali su administratore da odmah primijene bezbjednosne zakrpe objavljene u petak, „posebno na instancama koje su dostupne preko interneta.“
| Ranjivost | Pogođene verzije | Ispravljene verzije |
|---|---|---|
| CVE-2025-49844 – Lua use-after-free može dovesti do udaljenog izvršavanja koda (CVSS: 10.0 – Kritično) | Sve Redis verzije | 7.22.2-12+, 7.8.6-207+, 7.4.6-272+, 7.2.4-138+, 6.4.2-131+ |
| Redis OSS/CE/Stack sa Lua skriptovanjem | Sve | OSS/CE: 8.2.2+, 8.0.4+, 7.4.6+, 7.2.11+; Stack: 7.4.0-v7+, 7.2.0-v19+ |
Kako bi dodatno zaštitili Redis instance od udaljenih napada, administratori bi trebalo da:
- omoguće autentifikaciju,
- onemoguće Lua skriptovanje i druge nepotrebne komande,
- pokreću Redis sa korisničkim nalogom bez root privilegija,
- omoguće logovanje i monitoring,
- ograniče pristup samo na ovlašćene mreže,
- primijene mrežne kontrole pristupa koristeći firewall i VPC.
„RediShell (CVE-2025-49844) predstavlja kritičnu bezbjednosnu ranjivost koja pogađa sve Redis verzije zbog svog korijena u Lua interpreteru. Sa stotinama hiljada izloženih instanci širom svijeta, ova ranjivost predstavlja ozbiljnu prijetnju organizacijama u svim industrijama“, upozorava Wiz u izvještaju podijeljenom sa BleepingComputer-om.
„Kombinacija široke upotrebe, podrazumijevano nesigurnih konfiguracija i ozbiljnosti same ranjivosti stvara hitnu potrebu za momentalnim reagovanjem. Organizacije moraju prioritizovati ažuriranje svojih Redis instanci i primjenu adekvatnih bezbjednosnih kontrola kako bi spriječile eksploataciju.“
Hakeri često ciljaju Redis instance putem botneta koji ih zaražavaju malverom i kriptorudarskim alatima. Na primjer, u junu 2024. godine botnet P2PInfect instalirao je Monero rudarski malver i ransomware modul napadajući nezaštićene Redis servere izložene internetu.
Ranije su Redis serveri takođe bili kompromitovani malverima Redigo, HeadCrab i Migo, koji su onemogućavali zaštitne funkcije na zaraženim instancama i koristili ih za rudarenje Monero kriptovalute.
Izvor: BleepingComputer
