聚焦源代码安全,网罗国内外最新资讯!
Redis 是一款用于约75%的云环境中的开源代码结构存储,作用相当于数据库、缓存和消息经纪人,并将数据存储在RAM中支持超快速访问。该严重漏洞CVE-2025-49844是由一个已存在13年之久的位于 Redis 源代码中的释放后使用弱点引发的,可被认证攻击者通过一个特殊构造的 Lua 脚本(默认启用的特性)利用。成功利用该漏洞可导致攻击者逃逸 Lua 沙箱、触发释放后使用、建立反向 shell 获得持久访问权限并在目标 Redis 主机上实现远程代码执行后果。
攻陷 Redis 主机后,攻击者可窃取凭据、部署恶意软件或密币挖掘工具、提取 Redis 中的敏感数据、横向移动到受害者网络中的其它系统、或者使用被盗信息获得访问其它云服务的权限。Wiz 公司的研究人员在2025年5月举行的柏林 Pwn2Own 大赛上发现了该漏洞并将其命名为 “RediShell”,他们提到,“该漏洞可导致攻击者完全访问主机系统,使他们能够盗取、擦除或加密敏感数据,劫持资源,并在云环境中横向移动。”
虽然成功利用漏洞要求攻击者首先获得对 Redis 实例的认证访问权限,但 Wiz 公司发现约33万个 Redis 实例被暴露到互联网,其中至少6万个实例无需认证。Redis 和 Wiz 公司督促管理员应用上周五发布的安全更新,修复实例,“优先处理被暴露到互联网中的实例”。
漏洞 |
受影响版本 |
已修复版本 |
[CVE-2025-49844] Lua 释放后使用漏洞可导致RCE(CVSS评分10分,严重) |
Redis 软件所有版本 |
7.22.2-12 及以上、7.8.6-207及以上、7.4.6-272及以上、7.2.4-138及以上、6.4.2-131及以上 |
所有启用 Lua 脚本的 Redis OSS/CE/Stack 版本 |
OSS/CE: 8.2.2 及以上、8.0.4 及以上、7.4.6及以上、7.2.11 及以上; Stack: 7.4.0-v7及以上、7.2.0-v19 及以上 |
为进一步保护Redis 实例免受远程攻击,管理员也可启用认证、禁用 Lua 脚本和其它不必要的命令、使用非 root 用户账号启动 Redis、启用 Redis 日志记录和监控、仅限授权网络访问以及使用防火墙和VPC实现网络级别的访问控制。
Wiz 公司在一份报告中提醒称,“RediShell (CVE-2025-49844) 是一个严重漏洞,因其根因在于底层 Lua 解释器因此影响所有 Redis 所有版本。全球存在上万被暴露实例,该漏洞对所有行业的组织机构造成严重威胁。鉴于Redis 的广泛部署、默认不安全的配置以及漏洞的严重性,因此需立即修复。组织机构必须优先更新 Redis 实例和实现正确的安全控制以防止遭利用。”
威胁人员长通过僵尸网络攻击 Redis 实例。例如2024年6月,端对端的恶意软件僵尸网络P2Pinfect 在暴露在互联网和未修复的 Redis 服务器中安装门罗币挖矿恶意软件并部署了勒索软件模块。此前,Redis 服务器也被安装 Redigo 恶意软件并在 HeadCrab 和 Migo 恶意软件攻击中遭感染,禁用受陷实例中的防御措施并劫持这些实例用于挖掘门罗币。
P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~