Güvenlik araştırma firması Wiz, kuruluşlara, Redis veritabanındaki, kötüye kullanılması halinde saldırganlara ana sistemlere tam erişim hakkı verebilecek çok ciddi bir güvenlik açığını düzeltmeleri konusunda güçlü bir çağrıda bulunuyor.
Ayrıca Wiz, başarılı bir saldırının saldırganların hassas verileri sızdırmasına, silmesine veya şifrelemesine, kaynakları ele geçirmesine ve bulut ortamlarında yanal hareket sağlamasına olanak verebileceği konusunda uyardı.
Bu güvenlik açığının sorumlusu, yaklaşık 13 yıldır Redis’in kaynak kodunda bulunan bir bellek bozulması hatasıdır.
Kimliği doğrulanmış bir saldırgan, Redis’in varsayılan olarak desteklediği Lua dilinde yazılmış bir komut dosyasıyla bu durumdan yararlanabilir ve hedef ana bilgisayarda isteğe bağlı yerel kod yürütmeyi gerçekleştirebilir.
Hatanın yaşı, tüm Redis yazılım sürümlerinin etkilendiği anlamına gelir.
Wiz, “Redis’in bulut ortamlarının tahmini yüzde 75’inde kullanıldığı göz önüne alındığında, potansiyel etki çok büyük” dedi.
Wiz, yaklaşık 330.000 Redis örneğinin İnternet’e açık olduğunu ve yaklaşık 60.000’inde herhangi bir kimlik doğrulaması yapılandırılmadığını tahmin ediyor.
Güvenlik firması ayrıca bulut ortamlarının yüzde 57’sinin Redis’i konteyner görüntüleri olarak yüklediğini ve birçoğunun uygun güvenlik sağlamlaştırmasına sahip olmadığını söyledi.
Wiz, Redis’i bu yılın mayıs ayında Almanya’nın Berlin kentinde düzenlenen Pwn2Own güvenlik konferansında bilgilendirdi.
Bu güvenlik açığı için Redis tarafından CVE-2025-49844 olarak takip edilen bir yama yayınlandı.
Yöneticiler ayrıca Redis veritabanlarına ağ erişimini güvenlik duvarları ve ilkelerle kısıtlamalı, güçlü kimlik doğrulamayı zorunlu kılmalı ve izinleri sınırlandırmalıdır.
Redis, Remote Dictionary Server’ın kısaltmasıdır.
Bilgileri disk depolama yerine sistem belleğinde depolayan açık kaynaklı bir NoSQL veritabanıdır.
Bu, yüksek okuma ve yazma hızları sağlayarak Redis’i önbelleğe alma, oturum yönetimi ve performans ve düşük gecikme süresi gerektiren gerçek zamanlı analiz gibi bulut uygulamaları için tercih edilen bir seçenek haline getiriyor.
Wiz şu anda Google’ın ana şirketi Alphabet tarafından tamamı nakit 32 milyar ABD doları tutarında devasa bir anlaşmayla satın alınıyor.