Срочно обновить Redis: найдена критическая уязвимость RediShell

Важная уязвимость в Redis: обновление требуется срочно

По данным Wiz, исследовательской компании в области кибербезопасности, в популярной системе Redis, предназначенной для хранения данных в оперативной памяти, обнаружена критическая уязвимость под названием RediShell (CVE-2025-49844). Уязвимость позволяет злоумышленнику, имеющему доступ к системе, выполнить произвольный код на сервере Redis, что может привести к компрометации всей инфраструктуры.

Ошибка связана с утечкой памяти в коде, который появился ещё в 2012 году. Она возникает при выполнении специальным образом сформированных Lua-скриптов, поддерживаемых Redis по умолчанию. Атакующий может выйти за пределы изолированного Lua-окружения и получить полный контроль над сервером.

Распространённость и риски

В облаках Redis устанавливается в 57% случаев в виде контейнерного образа. По данным Wiz, 60 000 из 330 000 доступных из интернета экземпляров Redis не имеют включённой аутентификации. Это делает их особенно уязвимыми — злоумышленник может отправить вредоносный скрипт и получить доступ к данным, установить вредоносное ПО или украсть учетные данные, включая IAM-токены, для доступа к другим облачным сервисам.

Немецкое Федеральное ведомство по информационной безопасности (BSI) также сообщило об уязвимости, отметив, что в Германии около 4 000 серверов Redis доступны из интернета без аутентификации. Учитывая простоту атаки и широкое распространение Redis, ожидается рост активности злоумышленников после публикации технических деталей.

Исправления и рекомендации

Уязвимость исправлена в следующих версиях:

• Коммерческие версии Redis (закрытый исходный код):
  7.22.2-12 и выше, 7.8.6-207 и выше, 7.4.6-272 и выше, 7.2.4-138 и выше, 6.4.2-131 и выше
• OSS/CE (открытый исходный код):
  8.2.2 и выше, 8.0.4 и выше, 7.4.6 и выше, 7.2.11 и выше
• Redis Stack:
  7.4.0-v7 и выше, 7.2.0-v19 и выше

В качестве альтернативы можно отключить использование Lua-скриптов, ограничив команды EVAL и EVALSHA через ACL. Эксперты рекомендуют также:

• Включить аутентификацию
• Отключить ненужные команды
• Запускать Redis под непривилегированным пользователем
• Включить логирование и мониторинг
• Настроить сетевой контроль и ограничить доступ только из доверенных сетей

Интересно: Как быстро администраторы могут и должны среагировать, чтобы минимизировать ущерб от уязвимости RediShell?*

Критическая уязвимость в Redis: что стоит за обновлением

Уязвимость как индикатор системных проблем

Обнаружение уязвимости в Redis, которая оставалась незамеченной почти 13 лет, указывает на более глубокие проблемы в сфере кибербезопасности. Redis — это система, используемая в миллионах приложений, включая облака, где данные и инфраструктура становятся центральной точкой для атак. Уязвимость, связанная с утечкой памяти при обработке Lua-скриптов, позволяет злоумышленникам выполнить произвольный код, даже при наличии базовой аутентификации. Это подчеркивает важность архитектурных решений, принятых при разработке.

Важно: Уязвимость в Redis не является изолированной. Она выявляет системные слабости, которые могут быть использованы для компрометации других систем, включая платежные и CRM-платформы. Особенно критично, что атакующему не требуется высокий уровень технической квалификации — автоматизированные атаки могут обойти десятки тысяч серверов за короткое время.

Контекст: В 2025 году рост утечек данных в российском сегменте интернета составил 3,7 раза по сравнению с 2024 годом. Это связано с тем, что многие компании продолжают использовать устаревшие методы аутентификации, такие как пароли и SMS-коды, что делает их уязвимыми для фишинга и социальной инженерии.

Системные последствия и масштаб угрозы

Среди 330 000 доступных экземпляров Redis, 60 000 не имеют аутентификации. Это означает, что злоумышленники могут получить доступ к ним без сложных технических действий. В контексте российского бизнеса, где Redis активно используется в облаках, уязвимость может стать воротом для атак на другие сервисы, включая IAM-токены, что позволяет проникнуть в другие системы без повторного взлома.

Важно: В 2025 году число публичных киберинцидентов снизилось, но масштаб утечек данных вырос. Например, в начале года были зафиксированы утечки 16 млрд логинов и паролей. Это подчеркивает необходимость усиления меры безопасности не только в Redis, но и в смежных системах.

Тренд: Увеличение использования ИИ в атаках, делает их более изощренными и быстрыми. Например, ИИ позволяет создавать убедительные фишинговые материалы, которые сотрудники могут принять за легитимные. Это требует повышения уровня обучения персонала и внедрения более надежных методов аутентификации.

Стратегия защиты: что важно сделать срочно

Для минимизации рисков, связанных с уязвимостью в Redis, администраторам необходимо:

• Обновить Redis до последней версии.
• Отключить Lua-скрипты, если они не используются.
• Ограничить доступ к серверу, используя ACL.
• Запускать Redis под непривилегированным пользователем.
• Провести аудит текущих конфигураций и проверить сетевой доступ.

Важно: Без этих шагов обновление Redis будет лишь частичным решением. Особенно важно пересмотреть политики безопасности в контексте роста угроз в 2025 году, когда атаки на SaaS-платформы, такие как Salesforce, выросли в 20 раз. Это связано с компрометацией учетных данных и злоупотреблением доверенными приложениями.

Рекомендация: В условиях роста киберугроз, включая утечки данных через уязвимости в Oracle и угрозы выкупа, необходимо внедрять управляемые среды, усиливать защиту идентификации пользователей и проводить регулярные тестовые восстановления данных.

Востребованность кибербезопасности в 2025 году

В условиях оптимизации рынка труда, кибербезопасность остаётся одной из востребованных отраслей. В 2025 году предприятия, ориентированные на импортозамещение и социально значимые направления, расширяют штат, включая специалистов в этой области. Это связано с ростом требований к защите данных и цифровой инфраструктуры.

Важно: Увеличение числа сокращений в других секторах не отражается на кибербезопасности. Наоборот, рост киберугроз требует усиления защитных мер, включая обучение сотрудников, внедрение современных инструментов безопасности и постоянное обновление политики доступа.

Ключевой вывод: Уязвимость в Redis — это не просто техническая проблема. Это сигнал о том, что даже проверенные системы могут содержать скрытые риски. В условиях роста атак, использования ИИ и утечек данных, кибербезопасность должна быть частью стратегии каждой компании.