Redis предупреждает о критической уязвимости RediShell: под угрозой сотни тысяч серверов по всему миру

6 октября 2025 года команда безопасности Redis выпустила экстренные обновления для устранения уязвимости максимальной степени опасности — CVE-2025-49844, получившей оценку CVSS 10.0. Ошибка позволяет злоумышленникам выполнять произвольный код на серверах Redis и получать полный контроль над системой.

Что произошло

Redis — это высокопроизводительное хранилище данных с открытым исходным кодом, применяемое как кэш, брокер сообщений и база данных. Оно используется примерно в 75% облачных инфраструктур по всему миру.

Новая уязвимость, прозванная исследователями RediShell, связана с 13-летней ошибкой типа use-after-free в интерпретаторе Lua. При успешной эксплуатации она позволяет аутентифицированному злоумышленнику выйти за пределы «песочницы» Lua, установить обратное соединение и добиться удалённого выполнения кода (RCE) на хосте Redis.

Потенциальные последствия

После компрометации сервера атакующий может:

• похищать учётные данные и конфиденциальные данные из памяти Redis;
• внедрять вредоносное ПО и криптомайнеры;
• перемещаться по внутренней сети жертвы;
• использовать полученные токены доступа для атак на другие облачные сервисы.

Исследователи из Wiz, впервые представившие уязвимость на конференции Pwn2Own Berlin 2025, отметили, что она «предоставляет злоумышленнику полный доступ к хостовой системе, включая возможность стирания, шифрования и перехвата данных».

Масштаб угрозы

По данным Wiz, в сети обнаружено около 330 000 экземпляров Redis, из которых не менее 60 000 не требуют аутентификации, что делает их уязвимыми к немедленной атаке.

Уязвимость затрагивает все версии Redis, включая OSS/CE и Stack-редакции. Исправления уже доступны в версиях:

• 7.22.2-12 и выше,
• 7.8.6-207 и выше,
• 7.4.6-272 и выше,
• 7.2.4-138 и выше,
• 6.4.2-131 и выше,
  а также в OSS/CE релизах 8.2.2+, 8.0.4+, 7.4.6+, 7.2.11+ и Stack-релизах 7.4.0-v7+ и 7.2.0-v19+.

Рекомендации для администраторов

Redis и Wiz настоятельно советуют:

• немедленно обновить все экземпляры Redis;
• включить аутентификацию и ограничить доступ доверенным сетям;
• отключить выполнение Lua-скриптов, если оно не требуется;
• запускать Redis без прав root;
• включить журналирование и мониторинг активности;
• использовать сетевые фильтры, VPN и брандмауэры для защиты.

Исследователи представили видео об уязвимости, где можно посмотреть подробности о возможных угрозах и мерах безопасности.

Исторический контекст

Redis уже не раз становился целью атак. В 2024 году ботнет P2PInfect использовал уязвимые экземпляры для майнинга Monero, а ранее вредоносные программы Redigo, HeadCrab и Migo внедряли криптомайнеры и отключали защиту на серверах Redis.

По словам Wiz, сочетание широкого распространения Redis, небезопасных конфигураций по умолчанию и критичности уязвимости создаёт «острую необходимость в немедленном обновлении».