В Redis обнаружена опасная уязвимость CVE-2025-49844, позволяющая аутентифицированным пользователям удаленно выполнять код. Уязвимость затрагивает все версии с поддержкой Lua и связана с ошибкой Use-After-Free через манипуляции с механизмом сборки мусора. Брешь оставалась незамеченной 13 лет, но пока не доказана ее эксплуатация. Redis – NoSQL СУБД с хранением данных в оперативной памяти, обеспечивающая высокую производительность.
Use-After-Free – это уязвимость, при которой после освобождения ячейки памяти указатель на нее не обнуляется. Это позволяет хакерам выполнять программный код, например, в сервере Redis. После взлома хоста Redis злоумышленник может похитить учетные данные, установить вредоносное ПО, извлечь конфиденциальную информацию из базы данных, получить доступ к другим системам внутри сети или внедриться в облачные сервисы.
Пользователям Redis Cloud не стоит опасаться уязвимости – патчи уже установлены. Остальные пользователи должны установить исправления самостоятельно.
Исследователи Wiz обнаружили опасный баг в Redis, применяемом в 75% облачных сред. Они призывают немедленно установить исправления, особенно для интернет-доступных экземпляров. Также рекомендуется включить аутентификацию, отключить Lua и необязательные команды, а Redis запускать с правами пользователя, не root.
Эксплуатация уязвимости требует аутентифицированного доступа к Redis, что усложняет задачу злоумышленникам. По оценкам экспертов, в интернете доступно около 330 тыс. экземпляров СУБД, из которых 60 тыс. не требуют аутентификации. Trend Micro в августе 2025 г. насчитала более 2 тыс. ИИ-серверов с Redis, подключенных к интернету без аутентификации.
В дирекции по информационной безопасности в Redis заявили, что у разработчиков нет данных об эксплуатации уязвимости в Redis Cloud или клиентских окружениях. Однако, учитывая, что баг оставался незамеченным 13 лет, рекомендуется проверить используемые экземпляры СУБД на компрометацию.
Специалисты выделяют следующие признаки: подключение к Redis неавторизованных лиц, необычный сетевой трафик, подозрительные скрипты в БД, сбои сервера с неизвестными причинами, источником которых является движок Lua.
Источник: safe.cnews.ru
распечатать статью
