Команда безопасности Redis выпустила обновления для устранения критической уязвимости CVE-2025-49844, оцененной в 10,0 по CVSS. Недочет существовал в кодовой базе около 13 лет и связан с ошибкой класса use-after-free, которую можно эксплуатировать через Lua-скриптинг, включенный по умолчанию.
Технические детали и вектор атаки
Суть проблемы — возможность злоумышленника, имеющего аутентифицированный доступ к экземпляру Redis, выполнить специально подготовленный Lua-скрипт, выйти за пределы песочницы и инициировать use-after-free. Это открывает путь к установке реверс-шелла, закреплению в системе и полноценному удаленному выполнению кода (RCE) на хосте с Redis.
Исследователи Wiz, назвавшие уязвимость RediShell, продемонстрировали эксплуатацию на конкурсе Pwn2Own Berlin в мае 2025 года. По их оценке, корневая причина лежит в базовом интерпретаторе Lua, что делает уязвимость релевантной для всех поддерживаемых версий Redis, где активен скриптинг Lua.
Хотя злоумышленнику требуется учетная запись для доступа к инстансу, интернет-сканирование, проведенное Wiz, выявило порядка 330 000 публично доступных экземпляров Redis, из которых как минимум 60 000 не требуют аутентификации. В таких конфигурациях барьер для атаки стремится к нулю.
Масштаб и риск для организаций
Успешная эксплуатация CVE-2025-49844 позволяет злоумышленникам похищать учетные данные, разворачивать вредоносное ПО, извлекать конфиденциальные данные из памяти и хранилища Redis, а также осуществлять боковое перемещение по сети. В облачных средах это усиливает риск эскалации доступа к контейнерам, узлам оркестрации и смежным сервисам.
Критичность повышают два фактора: по умолчанию активный Lua-движок и распространенная практика публикации Redis в интернет без должной аутентификации и сетевой сегментации. В сочетании с оценкой CVSS 10,0 это делает RediShell угрозой первого приоритета для команд безопасности.
Рекомендации по защите и приоритизации обновлений
Патчи и приоритизация
Немедленно установите актуальные патчи Redis, отдавая приоритет узлам, доступным из интернета, и средам с критичными данными или высокими привилегиями. Обновления должны охватить все инстансы в продакшене, тестовых стендах и CI/CD, чтобы исключить обходные векторы.
Усиление конфигурации Redis
Включите аутентификацию и ACL для всех экземпляров, где это еще не сделано. Для систем, экспонированных наружу, по возможности отключите Lua-скриптинг и другие неиспользуемые функции.
Запускайте Redis с наименьшими привилегиями (не от root), ограничьте команды администрирования и доступ к опасным операциям. Включите детализированное логирование и аудит.
Сетевые меры и мониторинг
Ограничьте сетевой доступ до доверенных сегментов: используйте файрволы, списки контроля доступа и изоляцию в VPC. Предпочтительно привязывать Redis к внутренним интерфейсам и закрывать публичный доступ.
Настройте мониторинг аномалий и оповещения: резкие всплески Lua-активности, неизвестные исходящие соединения (признак реверс-шелла), нетипичные команды и операции с памятью.
Контекст: демонстрация на Pwn2Own и оценка исследователей
Wiz продемонстрировала эксплуатацию RediShell на Pwn2Own Berlin 2025 и сообщила, что уязвимость поражает широкий спектр версий из-за проблем в интерпретаторе Lua. По данным компании, «это дает атакующему полный доступ к системе хоста», что повышает риски для облачных и гибридных инфраструктур, где Redis часто служит кешем, брокером сообщений и хранилищем сессий.
Организациям рекомендуется провести инвентаризацию всех экземпляров Redis, срочно установить обновления, закрыть публичный доступ там, где он не нужен, и отключить Lua-скриптинг на экспонированных узлах. Своевременная установка патчей и базовая гигиена конфигурации заметно снижают вероятность компрометации, а также ограничивают последствия потенциальной атаки и бокового перемещения.
