Команда безопасности Redis выпустила исправления для уязвимости максимального уровня серьёзности, которая может позволить злоумышленникам удалённо выполнять код на тысячах уязвимых экземпляров. Она присутствовала в коде проекта 13 лет.
Redis (сокращение от Remote Dictionary Server) — это хранилище структур данных с открытым исходным кодом, используемое примерно в 75% облачных сред. Оно выполняет функции базы данных, кэша и брокера сообщений, а также хранит данные в оперативной памяти для сверхбыстрого доступа.
Уязвимость безопасности (отслеживаемая как CVE-2025-49844) вызвана 13-летним багом использования памяти после освобождения. Её обнаружили в исходном коде Redis. Аутентифицированные злоумышленники могут эксплуатировать уязвимость с помощью специально созданного скрипта Lua (функция включена по умолчанию).
Успешная эксплуатация позволяет им выйти из песочницы Lua, запустить использование памяти после освобождения, установить обратную оболочку для постоянного доступа и добиться удалённого выполнения кода на целевых хостах Redis.
После взлома хоста хакеры могут похитить учётные данные, внедрить вредоносное ПО или инструменты для майнинга криптовалюты, извлечь конфиденциальную информацию из Redis, перейти на другие системы в сети жертвы или использовать данные для получения доступа к другим облачным сервисам.
«Это предоставляет злоумышленнику полный доступ к хостовой системе, позволяя ему извлекать, удалять или шифровать конфиденциальные данные, перехватывать ресурсы и горизонтально перемещаться в облачных средах», — заявили исследователи Wiz, которые сообщили об уязвимости безопасности на конференции Pwn2Own в Берлине в мае 2025 года. Они назвали её RediShell.
Хотя для успешной эксплуатации злоумышленникам сначала требуется получить аутентифицированный доступ к экземпляру Redis, исследователи обнаружил около 330 тысяч таких, доступных онлайн, причём как минимум 60 тысяч из них не требуют аутентификации.
Redis и Wiz настоятельно рекомендовали администраторам немедленно установить обновления безопасности на своих экземплярах, «отдавая приоритет тем, которые подвержены интернет-атакам». Для дополнительной защиты от удалённых атак администраторы также могут включить аутентификацию, отключить выполнение скриптов Lua и других ненужных команд, запустить Redis с учётной записью пользователя без прав root, включить ведение журнала и мониторинг Redis, ограничить доступ только авторизованными сетями и реализовать контроль доступа на уровне сети с помощью брандмауэров и виртуальных частных облаков (VPC).
Организациям следует в первую очередь обновить свои экземпляры Redis и внедрить надлежащие механизмы безопасности для защиты от эксплуатации. Злоумышленники часто атакуют экземпляры Redis через ботнеты, заражающие их вредоносным ПО и криптомайнерами. Например, в июне 2024 года одноранговый ботнет, известный как P2PInfect, установил вредоносное ПО для майнинга криптовалюты Monero и использовал модуль программы-вымогателя для атак на серверы Redis, доступные из Интернета и не получающие обновления.
Ранее серверы Redis также были взломаны вредоносным ПО Redigo и заражены вредоносным ПО HeadCrab и Migo, которое отключало функции защиты на скомпрометированных экземплярах и перехватывало их для майнинга криптовалюты Monero.
В 2024 году аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Он распространялся через незащищённые экземпляры Redis, обычно версий до 6.0, где отсутствуют механизмы контроля доступа и шифрования.
Источник: habr.com