Aynı adı taşıyan yaygın olarak kullanılan bellek içi veri yapısı mağazasının arkasındaki şirket olan Redis, saldırganların altta yatan ana bilgisayar sistemine tam erişimine izin verebilecek kritik bir güvenlik açığı (CVE-2025-49844) için yamalar yayınladı.
Wiz araştırmacıları, “Bu kusur, bir post saldırganın özel hazırlanmış kötü amaçlı bir LUA komut dosyası (Redis’te varsayılan olarak desteklenen bir özellik) göndermesine izin veriyor ve LUA sanal alanından kaçmak ve Redis ana bilgisayarında keyfi yerel kod yürütme elde etmek için” dedi.
Daha da kötüsü, resmi Redis konteyner görüntüleri varsayılan olarak kimlik doğrulama devre dışı bırakılmıştır.
“Analizimiz, bulut ortamlarının% 57’sinin REDIS’i bir görüntü olarak yüklediğini gösteriyor. Dikkatli bir şekilde yüklenmezse, bu örneklerin kimlik doğrulamasının tamamen yok olabileceğini gösteriyor. Kimlik doğrulama ve internete maruz kalma kombinasyonu, Redis örneğini sorgulamasına ve özellikle LUA senaryolarını (…) göndermesine izin vererek, bu, Saldırganların Çevre içinden yararlanmasını ve araştırmacıların eklemesini sağladığını gösteriyor.
CVE-2025-49844 HAKKINDA
Bulan ve bildiren Wiz araştırmacıları tarafından Redishell olarak adlandırılan CVE-2025-49844, saldırganların özel hazırlanmış LUA senaryoları aracılığıyla Redis’in çöp toplayıcısını manipüle etmesine izin verebilecek bir kullanımdan sonraki hafıza yolsuzluk hatasından kaynaklanıyor.
Savunmasız bir redis kurulumu ihlal edildiğinde ve temel ana bilgisayar tehlikeye atıldıktan sonra, saldırganlar kalıcı erişim oluşturabilir, kriptominerler veya kötü amaçlı yazılımlar kurabilir, hem redis hem de ana bilgisayardan duyarlı verileri uzatabilir ve diğer bulut hizmetlerine erişmek için bazı (örneğin IAM Tokens) kullanabilir.
Korunmasız kod 2012 yılında Redis’in kod tabanına eklendi. Bu nedenle, CVE-2025-49844, LUA komut dosyası kullanan REDIS (Sunucu) sürümlerini etkiler: v8.2.1 ve daha önceki.
Güvenlik açığı şu şekildedir:
- (Ticari, Kapalı Kaynak) REDIS yazılım sürümleri-7.22.2-12 ve üstü, 7.8.6-207 ve daha yüksek, 7.4.6-272 ve üstü, 7.2.4-138 ve daha yüksek, 6.4.2-131 ve daha yüksek
- REDIS OSS/CE (Open-Source/Community Edition) LUA Scripting ile yayınlandı: 8.2.2 ve daha yüksek, 8.0.4 ve üstü, 7.4.6 ve üstü, 7.2.11 ve üstü
- Redis Stack sürümleri: 7.4.0-V7 ve üstü, 7.2.0-V19 ve daha yüksek
LUA komut dosyasını güncelleyin veya devre dışı bırakın
Wiz araştırmacıları, orada yaklaşık 330.000 internete maruz kalan Redis örneği olduğunu ve yaklaşık 60.000’in kimlik doğrulaması yapılandırılmadığını söylüyor.
Alman Federal Bilgi Güvenliği Ofisi (BSI) de kusur hakkında bir uyarı yayınladı ve sadece Almanya’da kimlik doğrulaması yapmadan yaklaşık 4.000 REDIS sunucusu olduğunu belirtti.
BSI, saldırının sadeliği ve REDIS’in geniş kullanımı göz önüne alındığında, özellikle teknik detaylar kamuya açıklandıktan sonra sömürü girişimlerinin beklendiğini belirtti.
Wiz şimdilik teknik ayrıntıları paylaşmaktan kaçındı.
BT yöneticilerine, değerlendirme ve değerlendirme komutlarını kısıtlamak için erişim kontrol listeleri (ACL’ler) kullanarak güncellemeleri hemen yüklemeleri veya alternatif olarak LUA komut dosyasını devre dışı bırakmaları tavsiye edilmiştir.
Wiz araştırmacıları ayrıca Redis kurulumlarının sertleşmesini tavsiye etti:
- Kimlik Doğrulamayı Etkinleştirme
- Gereksiz komutları devre dışı bırakma
- Kök dışı kullanıcı hesabı ile REDIS’i çalıştırma
- Etkinliği izlemek ve potansiyel sorunları belirlemek için redis tomrukçuluk ve izleme etkinleştirme
- Ağ düzeyinde erişim kontrolünün uygulanması ve
- REDIS’e sadece yetkili ağlardan erişimi sınırlamak.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!