Как 13-летняя уязвимость в Redis поставила под угрозу сотни тысяч серверов?

В программном обеспечении для баз данных в памяти Redis была обнаружена уязвимость максимальной степени опасности (CVSS 10.0), получившая неофициальное название RediShell. Этот дефект, отслеживаемый под идентификатором CVE-2025-49844, присутствовал в исходном коде на протяжении 13 лет и затрагивает все версии продукта, поддерживающие скрипты Lua.
Как 13-летняя уязвимость в Redis поставила под угрозу сотни тысяч серверов?
Изображение носит иллюстративный характер

Технически уязвимость представляет собой ошибку повреждения памяти типа «использование после освобождения» (use-after-free). Аутентифицированный злоумышленник может выполнить удаленный код, используя специально созданный скрипт Lua. Этот скрипт позволяет манипулировать сборщиком мусора, что приводит к состоянию use-after-free, позволяя злоумышленнику выйти из песочницы интерпретатора Redis Lua и выполнить произвольный нативный код на хост-системе.

Последствия успешной эксплуатации критичны. Злоумышленник получает полный несанкционированный доступ к базовой хост-системе, что позволяет ему красть учетные данные, устанавливать вредоносное ПО, похищать, удалять или шифровать конфиденциальные данные. Кроме того, скомпрометированная система может быть использована для захвата ресурсов, например, в атаках криптоджекинга, или включена в состав ботнета.

Особую опасность уязвимость представляет для облачных сред. Получив контроль над сервером Redis, атакующий может использовать его как плацдарм для дальнейшего перемещения внутри облачной инфраструктуры и атак на другие связанные сервисы.

Ключевым условием для эксплуатации является наличие у злоумышленника аутентифицированного доступа к экземпляру Redis. Это подчеркивает критическую важность настройки надежной аутентификации и недопущения прямого доступа к серверам Redis из интернета.

Проблема была обнаружена специалистами по облачной безопасности из компании Wiz, которые сообщили о находке разработчикам Redis 16 мая 2025 года. На момент публикации информации свидетельств эксплуатации уязвимости в реальных атаках зафиксировано не было.

Несмотря на это, уровень риска чрезвычайно высок. По статистике, около 330 000 экземпляров Redis доступны из интернета. Из них примерно 60 000 не имеют вообще никакой аутентификации, что делает их основной мишенью для атак.

По оценке компании Wiz, данная уязвимость представляет «значительную угрозу для организаций во всех отраслях». Такой вывод основан на сочетании трех факторов: широкое распространение Redis, частые небезопасные конфигурации по умолчанию и максимальная степень серьезности самой уязвимости.

Для устранения проблемы 3 октября 2025 года были выпущены исправления. Обновлению подлежат все затронутые версии. Безопасными являются версии 6.2.20, 7.2.11, 7.4.6, 8.0.4 и 8.2.2.

В качестве временной меры, если немедленное обновление невозможно, рекомендуется заблокировать возможность выполнения скриптов Lua для пользователей. Это можно сделать путем настройки списка контроля доступа (ACL) для ограничения команд EVAL и EVALSHA. Основная рекомендация по безопасности — разрешать выполнение скриптов и других потенциально опасных команд только доверенным субъектам.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка