Yeni bir güvenlik açığı RedisŞimdi Redishell (CVE-2025-49844) olarak bilinen on binlerce sunucuyu uzaktan uzlaşma riski altına aldı. Maksimum CVSS skoru 10.0 ile derecelendirilen kusur, on yıldan fazla bir süredir Redis kodunda fark edilmedi ve şu anda açık kaynaklı veritabanında bulunan en ciddi sorunlardan biri olarak adlandırılıyor.
Sorun, Redis’in LUA tercümanında, kötü niyetli bir LUA senaryosu aracılığıyla kullanılabilen kullanımsız bir hatada yatmaktadır. Saldırganlar tercümanın kum havuzundan kaçabilir ve ana bilgisayar sisteminde keyfi kod çalıştırabilir. Bu erişim seviyesi, veri hırsızlığına, kötü amaçlı yazılımların kurulumuna veya ek saldırılar için uzlaşmış sunucuların kullanılmasına izin verebilir.
Sorunu bulan Wiz’den siber güvenlik araştırmacıları, yaklaşık 330.000 REDIS vakasının şu anda internete maruz kaldığını ve yaklaşık 60.000 kimlik doğrulaması olmadan çalıştığını tahmin ediyor. Redis, önbellekleme ve oturum yönetimi için bulut ortamlarında yaygın olarak kullanılır, bu da bu güvenlik açığının erişiminin tipik yazılım hatalarından çok daha büyük olduğu anlamına gelir.
Redis ekibi hızlı bir şekilde cevap verdi, 3 Ekim’de yamalı bir versiyon ve güvenlik danışmanlığı yayınladı. Wiz araştırmacıları, sorunu Mayıs ayında belirledikten sonra özel olarak bildirmişti. Pwn2own Berlin. Açıklama süreci işbirliği içinde ele alındı ve Redis mühendisleri halka açık yayınlanmadan önce düzeltmeleri koordine etti.
Risk, Redis’in nasıl konuşlandırıldığına bağlı olarak değişir. Kimlik doğrulaması olmadan doğrudan internete maruz kalan örnekler en yüksek tehlike ile karşı karşıyadır. Bu kurulumlarda, herkes LUA komut dosyalarını uzaktan bağlayabilir ve çalıştırabilir, bu da sömürü için doğrudan bir yol sağlar.
Dahili ağlarda bile, kimlik doğrulaması zayıf veya yoksa hata önemli bir pozlama oluşturur, çünkü zaten kurumsal bir ortamdaki saldırganlar yanal hareket için onu kullanabilir.
Wiz’s analiz Hackrad.com ile paylaşılan, bulut ortamlarındaki redis dağıtımlarının% 57’sinin konteyner görüntüleri olarak çalıştığını buldu. Bu kapların çoğu uygun erişim kontrolleri veya yapılandırma kontrolleri olmadan dağıtılır ve bu da onları özellikle savunmasız hale getirir.
Eğer sömürülürse, bir saldırgan hafıza yolsuzluğunu tetiklemek, kum havuzundan kaçmak ve ana bilgisayar üzerinde tam kontrol oluşturmak için hazırlanmış bir LUA komut dosyası gönderebilir. İçeri girdikten sonra, kimlik bilgilerini püskürtebilir, madencileri veya backdoorları yükleyebilir ve bağlı bulut sistemlerine geçmek için çalıntı jetonlar kullanabilirler.
Araştırmacılar, tüm REDIS kullanıcılarını yükseltmeye çağırıyorlar. En son sürüm ve konfigürasyonlarını doğrulayın. Kimlik doğrulamayı etkinleştirmek, gerektiğinde LUA komut dosyası devre dışı bırakmak, ağ erişimini kısıtlamak ve REDIS’i kök olmayan bir hesap altında çalıştırmak önemli azaltma adımlarıdır. Olağandışı aktiviteyi tespit etmek için günlüğe kaydetme ve izleme de açılmalıdır.
“Bu yeni ifşa edilen Redis güvenlik açığı, teknik borcun sadece kodda yaşamadığını hatırlatıyor; yapılandırmada yaşıyor. Varsayılan ayarlar ve zayıf segmentasyon gözlemlenmeden on üç yıllık gizli risk ortaya çıktı” dedi. Aksi takdirde AscasenRadiant Logic’te Ürün Pazarlama Başkan Yardımcısı.
Redis gibi temel hizmetler, kimlik ve erişim sistemlerine dönebilen görünmez saldırı yolları oluştururlar ”diye ekledi. Kimlik gözlemlenebilirliği, saldırganlardan önce bu kör noktaları ortaya çıkarmak için gereken gerçek zamanlı görünürlük, kontrol, doğrulama ve iyileştirmeyi sağlar. ”
Redishell güvenlik açığı, ne kadar modern altyapının açık kaynaklı yazılıma bağlı olduğunu ve eski kodun yıllarca gizli riskleri taşıyabileceğini göstermektedir. Redis, bulut ortamlarının dörtte üçünden fazlası tarafından kullanılır, bu nedenle güvenlik konfigürasyonlarının yama ve sıkılaştırılması derhal öncelik olarak ele alınmalıdır.