RediShell czyli krytyczna podatność w Redis

Badacze z firmy Wiz znaleźli krytyczną podatność w popularnym i powszechnie stosowanym oprogramowaniu serwerowym Redis. Autorzy znaleziska nadali podatności CVE-2025-49844 nazwę RediShell i już sam fakt nazwania pozwala przypuszczać, że nie jest ona “typowa”, jak wiele innych, a jej skutki będą poważniejsze niż innych podatności. Błąd istniał w oprogramowaniu od 13 lat i otrzymał maksymalną wycenę CVSS – dokładnie 10.0 (wg autorów, gwoli ścisłości dodajmy, że w bazie NVD widzimy obecnie 9.9).

TLDR:

• podatność RediShell czyli CVE-2025-49844 o CVSS 10.0
• dotyczy wszystkich wersji Redis
• pozwala na RCE
• 300 tys. instancji Redis dostępnych w Internecie, w tym 60 tys. bez uwierzytelniania

Zgodnie z nazwą, podatność pozwala finalnie na uzyskanie dostępu do shella, czyli powłoki systemu, na którym jest uruchomiony Redis. Warunki wykorzystania teoretycznie nie są proste – wymagany jest dostęp na prawach użytkownika posiadającego możliwość wykonywania skryptów Lua. W praktyce jednak wymóg uwierzytelniania w przypadku tej usługi często nie jest wymagany. Także oficjalny kontener docker dostarczający Redisa, pochodzący od producenta, domyślnie nie posiada skonfigurowanego wymogu uwierzytelniania.

Jeśli chodzi o możliwość wykonywania skryptów to ponownie, co prawda może być ograniczona przy pomocy odpowiednich ACL, ale domyślnie takich ograniczeń nie ma.

Sama podatność została opisana jako UAF (use after free) w garbage collector dla Lua. Pozwala – przy pomocy złośliwego skryptu Lua – na manipulację zawartością pamięci, która może skutkować wykonaniem kodu poza piaskownicą (ang. sandbox) interpretera Lua, co w efekcie pozwoli na dostęp do hosta.

Podatne są wszystkie wersje serwera Redis poniżej – w zależności od linii – 7.2.11, 7.4.6, 8.0.4, 8.2.2.

Według znalazców błędu, obecnie z publicznej sieci Internet dostępnych jest 300 tys. instancji Redis, a 60 tys. z nich nie wymaga uwierzytelniania – te ostatnie są najbardziej zagrożone. Podatność może być jednak także wykorzystywana w sieciach wewnętrznych w celu tzw. lateral movement.

Zachęcamy do weryfikacji konfiguracji używanego oprogramowania Redis, aktualizacji, także do zapoznania się z oficjalnym komunikatem producenta oprogramowania. Niezwłocznie, ponieważ PoC wykorzystania podatności jest już publicznie dostępny (nie weryfikowaliśmy działania).

~Paweł Różański