Команда безопасности Redis
для критической уязвимости, которая позволяет атакующим осуществлять удаленное выполнение произвольного кода.
Проблема присутствовала в коде около 13 лет.
Уязвимость получила идентификатор CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS) и представляет собой use-after-free баг, который может применяться аутентифицированными злоумышленниками с помощью специально подготовленного Lua-скрипта (функция включена по умолчанию).
Успешная эксплуатация бага позволяет сбежать из Lua-песочницы, спровоцировать use-after-free, установить реверс-шелл для постоянного доступа и добиться удаленного выполнения кода на целевом Redis-хосте.
После компрометации хоста атакующие могут похитить учетные данные, развернуть малварь, извлечь конфиденциальные данные из Redis, осуществить боковое перемещение, распространив атаку на другие системы в сети жертвы, или использовать украденную информацию для доступа к облачным сервисам.
Хотя для успешной эксплуатации бага атакующим нужно получить аутентифицированный доступ к инстансу Redis, аналитики Wiz обнаружили в интернете около 330 000 доступных инстансов Redis, причем как минимум 60 000 из них не требуют аутентификации.
Специалисты Redis и Wiz призвали администраторов немедленно установить выпущенные на прошлой неделе патчи, отдавая приоритет инстансам, доступным через интернет.
Чтобы дополнительно защитить Redis от удаленных атак, администраторам рекомендуется включить аутентификацию, отключить Lua-скриптинг и другие ненужные функции, запускать Redis от имени пользователя без root-прав, включить логирование и мониторинг Redis, ограничить доступ только авторизованными сетями и внедрить контроль доступа на сетевом уровне с помощью файрволов и VPC.
Проблема присутствовала в коде около 13 лет.
Уязвимость получила идентификатор CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS) и представляет собой use-after-free баг, который может применяться аутентифицированными злоумышленниками с помощью специально подготовленного Lua-скрипта (функция включена по умолчанию).
Успешная эксплуатация бага позволяет сбежать из Lua-песочницы, спровоцировать use-after-free, установить реверс-шелл для постоянного доступа и добиться удаленного выполнения кода на целевом Redis-хосте.
После компрометации хоста атакующие могут похитить учетные данные, развернуть малварь, извлечь конфиденциальные данные из Redis, осуществить боковое перемещение, распространив атаку на другие системы в сети жертвы, или использовать украденную информацию для доступа к облачным сервисам.
Хотя для успешной эксплуатации бага атакующим нужно получить аутентифицированный доступ к инстансу Redis, аналитики Wiz обнаружили в интернете около 330 000 доступных инстансов Redis, причем как минимум 60 000 из них не требуют аутентификации.
Специалисты Redis и Wiz призвали администраторов немедленно установить выпущенные на прошлой неделе патчи, отдавая приоритет инстансам, доступным через интернет.
Чтобы дополнительно защитить Redis от удаленных атак, администраторам рекомендуется включить аутентификацию, отключить Lua-скриптинг и другие ненужные функции, запускать Redis от имени пользователя без root-прав, включить логирование и мониторинг Redis, ограничить доступ только авторизованными сетями и внедрить контроль доступа на сетевом уровне с помощью файрволов и VPC.
