Redis memperingatkan cacat kritis yang berdampak pada ribuan contoh

Tim keamanan Redis telah merilis tambalan untuk kerentanan keparahan maksimum yang dapat memungkinkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada ribuan contoh yang rentan.

Redis (kependekan dari Remote Dictionary Server) adalah toko struktur data open-source yang digunakan dalam sekitar 75% lingkungan cloud, berfungsi seperti database, cache, dan broker pesan, dan menyimpan data dalam RAM untuk akses ultra-cepat.

Cacat keamanan (dilacak sebagai CVE-2025-49844) disebabkan oleh anak berusia 13 tahun penggunaan-setelah-bebas Kelemahan yang ditemukan dalam kode sumber Redis dan dapat dieksploitasi oleh aktor ancaman yang diautentikasi menggunakan skrip LUA yang dibuat khusus (fitur yang diaktifkan secara default).

Eksploitasi yang berhasil memungkinkan mereka untuk melarikan diri dari Lua Sandbox, memicu penggunaan-bebas penggunaan, membuat shell terbalik untuk akses yang persisten, dan mencapai eksekusi kode jarak jauh pada host Redis yang ditargetkan.

Setelah mengkompromikan host Redis, penyerang dapat mencuri kredensial, menggunakan alat penambangan malware atau cryptocurrency, mengekstrak data sensitif dari Redis, pindah secara lateral ke sistem lain dalam jaringan korban, atau menggunakan informasi curian untuk mendapatkan akses ke layanan cloud lainnya.

“Ini memberikan akses penuh penyerang ke sistem host, memungkinkan mereka untuk mengeksfiltrasi, menghapus, atau mengenkripsi data sensitif, membajak sumber daya, dan memfasilitasi pergerakan lateral dalam lingkungan cloud,” kata peneliti Wiz, siapa melaporkan masalah keamanan di pwn2own berlin Pada Mei 2025 dan dijuluki Redishell.

Sementara eksploitasi yang berhasil mengharuskan penyerang terlebih dahulu untuk mendapatkan akses yang diautentikasi ke instance Redis, Wiz menemukan sekitar 330.000 instance Redis yang terpapar online, dengan setidaknya 60.000 di antaranya tidak memerlukan otentikasi.

Redis dan Wiz mendesak admin untuk segera menambal instance mereka dengan menerapkan pembaruan keamanan yang dirilis pada hari Jumat, “memprioritaskan mereka yang terpapar ke internet.”

Untuk lebih mengamankan instance Redis mereka terhadap serangan jarak jauh, admin juga dapat mengaktifkan otentikasi, menonaktifkan skrip LUA dan perintah yang tidak perlu lainnya, meluncurkan Redis menggunakan akun pengguna non-root, memungkinkan penebangan dan pemantauan Redis, membatasi akses ke jaringan yang resmi, dan mengimplementasikan kontrol akses tingkat jaringan yang menggunakan firewall dan virtual private clougs.

“Redishell (CVE-2025-49844) mewakili kerentanan keamanan kritis yang mempengaruhi semua versi Redis karena akar penyebabnya dalam penerjemah Lua yang mendasarinya. Dengan ratusan ribu contoh yang terpapar di seluruh dunia, kerentanan ini menimbulkan ancaman yang signifikan bagi organisasi di semua industri,” Wiz memperingatkan dalam sebuah laporan yang dibagikan bersama Bingcompet.

“Kombinasi penyebaran luas, konfigurasi tidak aman default, dan keparahan kerentanan menciptakan kebutuhan mendesak untuk perbaikan segera. Organisasi harus memprioritaskan memperbarui instance Redis mereka dan menerapkan kontrol keamanan yang tepat untuk melindungi dari eksploitasi.”

Aktor ancaman sering menargetkan instance Redis melalui botnet yang menginfeksi mereka dengan malware dan cryptominers. Misalnya, pada bulan Juni 2024, botnet malware peer-to-peer yang dikenal sebagai p2pinfect menginstal malware monero cryptomining dan menggunakan modul ransomware dalam serangan Menargetkan server Redis yang terpapar dan tidak terpapar Internet.

Sebelumnya, server Redis juga diputar ulang Mengurangi malware dan terinfeksi Headcrab Dan Migo Serangan malware, yang menonaktifkan fitur perlindungan pada contoh yang dikompromikan dan membajaknya untuk menambang untuk cryptocurrency Monero.