Redis’teki RediShell adı verilen 13 yıllık kritik uzaktan kod yürütme (RCE) güvenlik açığı, saldırganların temeldeki ana bilgisayar sistemine tam erişim elde etmesine olanak tanıyor.
CVE-2025-49844 olarak takip edilen kusur, Wiz Research tarafından keşfedildi ve mümkün olan en yüksek CVSS ciddiyet puanı olan 10,0’a atandı; bu, en ciddi güvenlik sorunlarına ayrılmış bir derecelendirmedir.
Güvenlik açığı, Redis’in kaynak kodunda yaklaşık 13 yıldır var olan bir Serbest Kullanım Sonrası (UAF) bellek bozulması hatasıdır. Kimlik doğrulama sonrası saldırgan, özel hazırlanmış bir Lua betiği göndererek bu kusurdan yararlanabilir.
Lua komut dosyası oluşturma varsayılan bir özellik olduğundan, saldırgan Redis ana bilgisayarında rastgele kod yürütmek için Lua sanal alan ortamından kaçabilir.
Bu düzeyde erişim, saldırganın verileri çalmasına, silmesine veya şifrelemesine, kripto madenciliği gibi faaliyetler için sistem kaynaklarını ele geçirmesine ve ağ üzerinde yanal olarak hareket etmesine olanak tanıyarak tam kontrol sağlar.
Redis’in her yerde bulunması potansiyel etkiyi daha da artırıyor. Bulut ortamlarının tahminen %75’i önbelleğe alma, oturum yönetimi ve mesajlaşma için bellek içi veri deposunu kullanıyor.
Bu kritik kusurun, genellikle uygun güvenlik güçlendirmesinden yoksun olan yaygın dağıtım uygulamalarıyla birleşimi, dünya çapındaki kuruluşlar için önemli bir risk çarpanı oluşturur.
İnternete Açık Redis Örnekleri
Wiz Research tarafından yapılan analiz, yaklaşık 330.000 Redis örneğinin internete açık olduğu kapsamlı bir saldırı yüzeyini ortaya çıkardı. Endişe verici bir şekilde, bu örneklerin yaklaşık 60.000’inde kimlik doğrulaması yapılandırılmış değil.
Bulut kurulumlarının %57’sini oluşturan resmi Redis konteyner görüntüsü, varsayılan olarak kimlik doğrulama gerektirmez.
Bu yapılandırma, kimliği doğrulanmamış herhangi bir saldırganın kötü amaçlı Lua komut dosyaları göndermesine ve ortam içinde kod yürütmesine olanak tanıdığından son derece tehlikelidir.
Yalnızca dahili ağlara maruz kalan örnekler bile yüksek risk altındadır; çünkü başlangıçta tutunacak bir yeri olan bir saldırgan, daha hassas sistemlere doğru yanal hareket için bu güvenlik açığından yararlanabilir.
Saldırı akışı, saldırganın savunmasız Redis örneğine kötü amaçlı bir Lua betiği göndermesiyle başlar. Saldırgan, korumalı alandan kaçmak için UAF hatasını başarıyla kullandıktan sonra kalıcı erişim için bir ters kabuk oluşturabilir.
Buradan SSH anahtarları ve IAM belirteçleri gibi kimlik bilgilerini çalarak, kötü amaçlı yazılım yükleyerek ve hem Redis’ten hem de ana makineden hassas verileri sızdırarak tüm ana bilgisayarın güvenliğini tehlikeye atabilirler.
3 Ekim 2025’te Redis, CVE-2025-49844’e yönelik bir güvenlik danışma belgesi ve yama uygulanmış sürümler yayınladı. Tüm Redis kullanıcılarının, internete açık olan veya kimlik doğrulaması olmayan bulut sunucularına öncelik vererek bulut sunucularını derhal yükseltmeleri şiddetle tavsiye edilir.
Yama uygulamasının yanı sıra kuruluşlar, güvenliği güçlendiren en iyi uygulamaları da uygulamalıdır.
Bu önlemler arasında güçlü kimlik doğrulamanın etkinleştirilmesi, gerekmiyorsa Lua komut dosyalarının devre dışı bırakılması, Redis’in minimum ayrıcalıklara sahip root olmayan bir kullanıcı hesabıyla çalıştırılması ve erişimi yalnızca yetkili ağlara kısıtlamak için güvenlik duvarları ve Sanal Özel Bulut (VPC’ler) gibi ağ düzeyinde erişim kontrollerinin uygulanması yer alır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
