Админ, проверь свой Redis: критическая ошибка даёт хакерам власть над всей облачной сетью

Команда безопасности Redis выпустила обновления, закрывающие критическую брешь, способную дать злоумышленникам удалённый доступ к серверам по всему миру. Уязвимость получила максимальный уровень опасности и существовала в проекте более десяти лет.

Redis — это популярное хранилище структур данных с открытым исходным кодом, применяемое для кэширования, хранения данных в оперативной памяти и обмена сообщениями между сервисами. По оценкам экспертов, Redis используется примерно в 75% облачных инфраструктур.

Что случилось

Ошибка, зарегистрированная как CVE-2025-49844, оказалась связана с дефектом использования памяти после освобождения (use-after-free). Проблема присутствовала в исходном коде с 2012 года. Уязвимость позволяет аутентифицированным пользователям запускать специально созданные скрипты Lua, выходить из песочницы и получать полный контроль над системой.

По сути, злоумышленник может использовать баг, чтобы установить обратную оболочку, обеспечивающую постоянный доступ к серверу. После этого он способен выполнять произвольный код, воровать данные или распространять вредоносное ПО.

"Это предоставляет злоумышленнику полный доступ к хостовой системе, позволяя ему извлекать, удалять или шифровать конфиденциальные данные, перехватывать ресурсы и горизонтально перемещаться в облачных средах", — заявили исследователи Wiz.

Масштаб угрозы

Хотя для эксплуатации требуется аутентификация, исследователи Wiz обнаружили около 330 тысяч открытых экземпляров Redis, из которых не менее 60 тысяч вовсе не требуют авторизации. Это означает, что десятки тысяч систем могут быть атакованы без особых усилий.

Хакеры, получившие доступ к уязвимому Redis, могут:

• похищать учётные данные и токены доступа;

• внедрять криптомайнеры и программы-вымогатели;

• извлекать секретную информацию из памяти Redis;

• использовать полученные данные для атак на другие облачные сервисы.

Сценарий вполне реален: подобные атаки уже происходили. Так, в 2024 году ботнет P2PInfect устанавливал на серверы Redis вредоносные модули для добычи Monero и даже использовал компоненты вымогателей.

Как защититься: пошаговые рекомендации

Эксперты Redis и Wiz настоятельно советуют администраторам не откладывать установку патчей безопасности. Алгоритм действий:

1. Немедленно обновить Redis до актуальной версии, в которой ошибка устранена.

2. Проверить наличие аутентификации. Если вход не требует пароля — срочно включить.

3. Отключить выполнение скриптов Lua, если они не нужны в производственной среде.

4. Запускать Redis под пользователем без прав root.

5. Включить журналирование и мониторинг, чтобы быстро обнаруживать подозрительные операции.

6. Ограничить сетевой доступ, разрешив подключение только с доверенных IP или внутри виртуальной частной сети (VPC).

7. Настроить брандмауэр для фильтрации внешних обращений.

Ошибка → Последствие → Альтернатива

• Ошибка: отсутствие обновлений Redis.
  Последствие: сервер остаётся уязвим для удалённого выполнения кода.
  Альтернатива: использование последней версии Redis 7.4.1 с установленными патчами.

• Ошибка: отключённая аутентификация.
  Последствие: злоумышленник получает прямой доступ к памяти.
  Альтернатива: настройка пароля и ACL (Access Control List).

• Ошибка: запущенный Redis от имени root.
  Последствие: полный захват системы при успешной атаке.
  Альтернатива: создание отдельного пользователя без административных прав.

А что если сервер уже заражён?

Если есть подозрение на компрометацию, стоит немедленно изолировать узел от сети, провести анализ логов и проверить системные процессы на наличие неизвестных исполняемых файлов. Redis хранит ключевые данные в памяти, поэтому даже временный доступ злоумышленника может привести к утечке токенов, паролей и других секретов.

Лучше полностью переустановить Redis и восстановить данные из доверенной резервной копии. Параллельно нужно обновить все пароли и ключи API, использовавшиеся в сервисах, взаимодействующих с Redis.

Плюсы и минусы Redis как технологии

FAQ

Как узнать, уязвим ли мой Redis?
Проверьте версию через команду redis-server -v. Если она ниже 7.4.1, необходимо обновление.

Можно ли эксплуатировать баг без аутентификации?
Да, если Redis открыт в интернет и не требует пароля — тогда атака возможна напрямую.

Что делать, если отключить Lua нельзя?
Ограничьте выполнение скриптов через конфигурацию и используйте мониторинг вызовов Lua-команд.

Какие инструменты помогут обнаружить угрозу?
Wiz, Shodan и RedisInsight позволяют находить открытые экземпляры и анализировать подозрительные операции.

Как предотвратить подобные инциденты в будущем?
Регулярно устанавливайте обновления, используйте брандмауэры и не оставляйте сервисы доступными из интернета без защиты.

Мифы и правда

• Миф: Redis безопасен, если его никто не видит в интернете.
  Правда: даже внутренние экземпляры могут быть атакованы через скомпрометированные учётные записи.

• Миф: обновления можно отложить — уязвимость редкая.
  Правда: она существовала 13 лет и активно исследуется — значит, эксплойты появятся очень скоро.

• Миф: если стоит пароль, можно не беспокоиться.
  Правда: злоумышленники часто подбирают слабые пароли с помощью брутфорса.

3 интересных факта

1. Redis начинался как личный проект итальянского разработчика Сальваторе Санфилиппо в 2009 году.

2. Имя Redis расшифровывается как Remote Dictionary Server.

3. Lua-интерпретатор встроен в Redis с версии 2.6 и используется по умолчанию для выполнения скриптов.

Исторический контекст

Redis не впервые становится целью хакеров. В 2015 году тысячи серверов были заражены из-за открытых портов без авторизации. С тех пор сообщество неоднократно напоминало о необходимости изоляции Redis от внешней сети. Тем не менее, случаи компрометации продолжают повторяться — теперь уже с использованием уязвимости RediShell.