Redisのセキュリティチームは、攻撃者が数千の脆弱なインスタンスでリモートコード実行を可能にする最大深刻度の脆弱性に対するパッチをリリースしました。
Redis(Remote Dictionary Serverの略)は、約75%のクラウド環境で使用されているオープンソースのデータ構造ストアであり、データベース、キャッシュ、メッセージブローカーのように機能し、RAMにデータを保存して超高速アクセスを実現します。
このセキュリティ脆弱性(CVE-2025-49844として追跡)は、13年前から存在する
攻撃が成功すると、攻撃者はLuaサンドボックスからの脱出、Use-After-Freeの発生、リバースシェルによる持続的なアクセスの確立、そして標的となるRedisホストでのリモートコード実行が可能となります。
Redisホストが侵害されると、攻撃者は認証情報の窃取、マルウェアや暗号通貨マイニングツールの展開、Redisからの機密データの抽出、被害者ネットワーク内の他システムへの横移動、または盗まれた情報を使って他のクラウドサービスへのアクセスを得ることができます。
「これにより攻撃者はホストシステムへの完全なアクセス権を得て、機密データの持ち出し、消去、暗号化、リソースの乗っ取り、クラウド環境内での横移動を容易にします」と、Wizの研究者は述べています。彼らは2025年5月のPwn2Own Berlinでこのセキュリティ問題を報告し、「RediShell」と名付けました。
攻撃の成功には、まず攻撃者がRedisインスタンスへの認証済みアクセスを得る必要がありますが、Wizは約33万のRedisインスタンスがオンラインで公開されており、そのうち少なくとも6万は認証を必要としないことを発見しました。
RedisおよびWizは、管理者に対し、「インターネットに公開されているものを優先して」金曜日にリリースされたセキュリティアップデートを適用し、直ちにインスタンスをパッチするよう呼びかけています。
| 脆弱性 | 影響を受けるリリース | 修正済みリリース |
|---|---|---|
| [CVE-2025-49844] Lua Use-After-Freeによりリモートコード実行の可能性 CVSSスコア: 10.0(重大) | すべてのRedisソフトウェアリリース | 7.22.2-12以降、7.8.6-207以降、7.4.6-272以降、7.2.4-138以降、6.4.2-131以降 |
| Luaスクリプト機能を持つすべてのRedis OSS/CE/Stackリリース | OSS/CE: 8.2.2以降、8.0.4以降、7.4.6以降、7.2.11以降、Stack: 7.4.0-v7以降、7.2.0-v19以降 |
リモート攻撃からRedisインスタンスをさらに保護するために、管理者は認証の有効化、Luaスクリプトや不要なコマンドの無効化、非rootユーザーアカウントでのRedis起動、Redisのログ記録と監視の有効化、認可されたネットワークのみへのアクセス制限、ファイアウォールや仮想プライベートクラウド(VPC)によるネットワークレベルのアクセス制御の実装なども行うことができます。
「RediShell(CVE-2025-49844)は、基盤となるLuaインタープリターに起因するため、すべてのRedisバージョンに影響する重大なセキュリティ脆弱性です。世界中で数十万ものインスタンスが公開されており、この脆弱性はあらゆる業界の組織にとって重大な脅威となります」と、WizはBleepingComputerと共有したレポートで警告しています。
「広範な導入、デフォルトの安全でない設定、脆弱性の深刻度が組み合わさることで、直ちに対策を講じる必要性が生じています。組織は、Redisインスタンスの更新と適切なセキュリティ対策の実装を最優先し、悪用から保護しなければなりません。」
脅威アクターは、ボットネットを介してRedisインスタンスをマルウェアや暗号通貨マイナーで感染させることが頻繁にあります。たとえば2024年6月、P2PInfectとして知られるピアツーピア型マルウェアボットネットがMoneroの暗号通貨マイニングマルウェアをインストールし、インターネットに公開されパッチ未適用のRedisサーバーを標的とした攻撃でランサムウェアモジュールを展開しました。
以前にも、RedisサーバーはRedigoマルウェアによるバックドア設置や、HeadCrabおよびMigoマルウェア攻撃で感染し、これらは侵害されたインスタンスの保護機能を無効化し、Monero暗号通貨のマイニングのために乗っ取られていました。
