- В коде Redis обнаружена критическая уязвимость, существующая 13 лет, которая позволяет злоумышленникам удалённо выполнять код.
- Уязвимость связана с ошибкой использования памяти после освобождения и эксплуатируется через скрипты Lua, активные по умолчанию.
- Рекомендуется срочно обновить экземпляры Redis и усилить меры безопасности для предотвращения атак и компрометации данных.
Команда безопасности Redis объявила о публикации критического обновления, закрывающего серьёзную уязвимость в системе, обнаруженную в её исходном коде и присутствовавшую на протяжении 13 лет. Ошибка, идентифицированная как CVE-2025-49844, связана с использованием памяти после её освобождения, что позволяет злоумышленникам, получившим аутентифицированный доступ к серверу, запускать произвольный код. Уязвимость эксплуатируется через выполнение скриптов на языке Lua, функция которых включена по умолчанию в Redis.
При успешной эксплуатации, что возможно благодаря слабым настройкам и отсутствию надлежащей защиты, злоумышленники способны выйти за рамки песочницы Lua, получить удалённый доступ к системе, установить постоянную обратную оболочку и выполнять любые команды на уязвимом сервере. Это даёт им возможность красть учётные данные, внедрять вредоносное программное обеспечение, майнить криптовалюту и перемещаться по внутренним сетям, что значительно увеличивает риски компрометации данных в облачных инфраструктурах.
Исследователи из компании Wiz, впервые представившие результаты на конференции Pwn2Own в Берлине весной 2025 года, окрестили уязвимость RediShell. По их оценкам, в интернете насчитывается около 330 тысяч экземпляров Redis, доступных для потенциальных атак, из которых более 60 тысяч вообще не требуют аутентификации. Это значительно повышает угрозу масштабных взломов.
Разработчики Redis и специалисты безопасности настоятельно рекомендуют всем администраторам срочно обновить свои базы данных до последних версий, уделяя первоочередное внимание экземплярам, доступным через интернет, и включить дополнительные меры защиты. К ним относятся активация аутентификации, отключение выполнения скриптов Lua для неоправданных случаев, запуск сервера с ограниченными правами пользователя, а также использование сетевых фильтров и систем контроля доступа.
В прошлом уязвимости и неправильные конфигурации Redis уже становились причиной масштабных кибератак, связанных с заражением серверов майнинговым и вымогательским ПО. В частности, в 2024 году были зафиксированы случаи заражений вредоносными программами Skidmap, HeadCrab и Migo через незащищённые экземпляры Redis, что подчёркивает необходимость своевременного устранения обнаруженной уязвимости и внедрения комплексных мер безопасности.
Таким образом, публикация патчей для Redis является важной вехой в защите облачных данных и систем от растущих киберугроз, и игнорирование рекомендаций по обновлению может привести к серьёзным последствиям для пользователей и компаний, использующих данный сервер данных.
