El equipo de seguridad de Redis publicó actualizaciones para mitigar CVE-2025-49844, una vulnerabilidad crítica calificada con CVSS 10,0. El fallo, presente desde hace aproximadamente 13 años, se origina en un error de tipo use-after-free explotable a través del scripting Lua que viene habilitado por defecto, y puede conducir a ejecución remota de código (RCE) en el host.
Detalles técnicos y vector de ataque en Redis (CVE-2025-49844)
Un atacante con acceso autenticado a un servidor Redis puede enviar un script Lua especialmente diseñado para escapar de la sandbox e inducir un use-after-free. En escenarios prácticos, esto habilita la apertura de un reverse shell, la persistencia y el control total del sistema donde se ejecuta Redis.
Investigadores de Wiz bautizaron la falla como RediShell y demostraron su explotación durante Pwn2Own Berlin 2025. Según sus hallazgos, la causa raíz reside en el intérprete de Lua subyacente, por lo que las versiones de Redis con scripting Lua activo se ven potencialmente afectadas de forma amplia.
Aunque se requiere autenticación para el vector más directo, un escaneo de internet realizado por Wiz identificó cerca de 330 000 instancias públicas de Redis; al menos 60 000 no exigían autenticación. En estos despliegues, la barrera de entrada para la explotación es mínima.
Impacto para organizaciones y riesgo en entornos cloud
La explotación exitosa de CVE-2025-49844 facilita el robo de credenciales, el despliegue de malware, la extracción de datos sensibles de memoria y almacenamiento de Redis, así como el movimiento lateral dentro de la red. En la nube, los riesgos incluyen escaladas hacia contenedores, orchestrators y servicios adyacentes, dada la frecuencia con la que Redis actúa como caché, broker de mensajes o almacén de sesiones.
Dos factores agravan la criticidad: el motor de Lua activo por defecto y la práctica extendida de exponer Redis a internet sin autenticación ni segmentación de red. En conjunto con una puntuación CVSS 10,0, RediShell se posiciona como amenaza de máxima prioridad para equipos de seguridad y operaciones.
Medidas de mitigación y priorización de parches
Actualizaciones inmediatas y cobertura integral
Instale de inmediato los parches oficiales de Redis, priorizando nodos expuestos a internet y entornos con datos críticos o privilegios elevados. Aplique las correcciones en producción, preproducción, laboratorios y pipelines de CI/CD para evitar rutas de evasión.
Endurecimiento de la configuración de Redis
Active autenticación y ACL en todos los despliegues. En instancias accesibles desde el exterior, deshabilite el scripting Lua si no es imprescindible y reduzca la superficie de ataque desactivando funciones no utilizadas.
Ejecute Redis con el principio de mínimos privilegios (nunca como root), limite comandos administrativos y operaciones peligrosas, y habilite un registro detallado con auditoría.
Controles de red y detección de anomalías
Restringa el acceso de red a segmentos confiables mediante firewalls, listas de control de acceso y aislamiento en VPC. Vincule Redis a interfaces internas y cierre el acceso público cuando no sea estrictamente necesario.
Implemente monitorización de anomalías y alertas: picos inusuales de actividad Lua, conexiones salientes desconocidas (indicativas de reverse shell), comandos atípicos y patrones anómalos de uso de memoria.
Contexto y lecciones de Pwn2Own Berlin 2025
La explotación demostrada en Pwn2Own por Wiz subraya que vulnerabilidades en componentes de terceros —como el intérprete de Lua— pueden impactar transversalmente a múltiples versiones. Para mitigar riesgos sistémicos, las organizaciones deberían inventariar todas sus instancias Redis, verificar su exposición, aplicar parches sin demora, retirar accesos públicos innecesarios y desactivar Lua en nodos expuestos. Estas medidas, alineadas con buenas prácticas de endurecimiento y segmentación, reducen de forma significativa la probabilidad de compromiso y el alcance del movimiento lateral.
La ventana entre la divulgación y la explotación masiva suele ser breve. Actúe hoy: parchee, limite la exposición, refuerce la autenticación y mejore la telemetría. Invertir en higiene de configuración y supervisión continua es la forma más eficaz de contener RediShell y elevar la resiliencia de su entorno Redis, tanto on‑prem como en la nube.
