出典:Aleksia(Alamyストックフォト経由)
すべてのバージョンのRedisオープンソースデータストレージサービスに影響を与える13年前の脆弱性により、攻撃者がホストシステムを完全に制御できる可能性があり、多くの組織や業界のクラウド環境に重大な脅威をもたらします。
Wiz Researchは、CVE-2025-49844として追跡され「RediShell」と名付けられたリモートコード実行(RCE)の脆弱性を発見しました。これは月曜日に公開されたブログ記事によると、10年以上Redisのソースコードに存在していました。この問題は、use-after-free(UAF)メモリ破損バグを悪用しており、CVSSの重大度スコアである10点満点中10点という最高レベルのクリティカル評価を受けています。
「この脆弱性により、認証後の攻撃者は特別に細工された悪意のあるLuaスクリプト(Redisでデフォルトでサポートされている機能)を送信し、Luaサンドボックスから脱出してRedisホスト上で任意のネイティブコードを実行できます」とWizの研究者Benny Isaacs氏とNir Brakha氏はブログ記事に記しています。Luaは軽量なプログラミング言語です。
これは非常に深刻な問題であり、「攻撃者にホストシステムへの完全なアクセス権を与え、機密データの持ち出し、消去、暗号化、リソースの乗っ取り、クラウド環境内での横展開を可能にします」と彼らは述べています。
Wizは、ベルリンで開催された#Pwn2Own 2025カンファレンスでこの脆弱性を実証した後、5月16日にRedisへ最初の脆弱性報告を送りました。その後、Redisはセキュリティ速報を公開し、10月3日に修正版のデータストレージサービスをリリースしました。
30万件のインスタンスが露出
Redisは、Wizによると、推定でクラウド環境の75%で使用されている、人気が高まっているオープンソースのインメモリデータ構造ストレージサービスです。この広範な利用状況から、「潜在的な影響は非常に大きい」と研究者らは指摘し、すべての組織に対し、特にインターネットに公開されているインスタンスを優先して、直ちにパッチ適用を行うよう促しています。
現時点で、この優先リストには30万件以上のRedisインスタンスが含まれており、そのうち6万件は認証不要であるとWizは報告しています。さらに、クラウド環境の57%がRedisをコンテナイメージとしてインストールしており、その多くは適切なセキュリティ強化がなされていません。
「Redisはこれまで強固なセキュリティ履歴を持っていましたが、この脆弱性と一般的なデプロイメント手法の組み合わせにより、潜在的な影響が大幅に増大しています」とIsaacs氏とBrakha氏は記しています。
WizはすべてのRedisユーザーに直ちにインスタンスのアップグレードを推奨していますが、研究者らは2つの主要な高リスクシナリオを区別しています。デフォルトで認証を必要としないRedisコンテナがインターネットに公開されている場合、攻撃リスクが最も高く、緊急の対策が必要だと研究者らは述べています。
ややリスクは低いものの、内部ネットワークに公開されているRedisインスタンスも、認証が優先されていない場合、ローカルネットワーク内の任意のホストがデータベースサーバーに接続できるため、クラウド環境にアクセスできる攻撃者に悪用される可能性があります。これらのインスタンスもできるだけ早く対策を講じるべきだとWizは述べています。
エクスプロイトの仕組み
RediShellの深刻さをさらに高めているのは、この脆弱性を利用してRedisインスタンスを侵害することが難しくないという点です、とWizは述べています。攻撃者はまず悪意のあるLuaスクリプトを送り、use-after-free脆弱性を悪用します。このスクリプトはLuaサンドボックスを脱出し、任意のコード実行を実現し、その後攻撃者はリバースシェルを確立して持続的なアクセスを得ます。
このようにして、Redisホストは侵害され、攻撃者は以下のような悪意ある活動を行うことができます:SSHキー、認証トークン、デジタル証明書などの認証情報の窃取、マルウェアや暗号通貨マイナーのインストール、Redisデータベースやホストシステムからの機密データの持ち出しなどです。
盗まれた認証情報を使って、攻撃者は横展開し、他のクラウドサービスへのアクセスや権限昇格、さらなるシステムへの侵入も可能になると研究者らは述べています。
パッチ適用以外の対策
CVE-2025-49844へのパッチ適用に加え、Wizは「requirepass」ディレクティブを使ったRedis認証の実装や、ファイアウォールや仮想プライベートクラウド(VPC)によるRedisインスタンス周辺のネットワークアクセス制御など、いくつかの緩和策を推奨しています。
この脆弱性のリスクをさらに軽減するために、セキュリティチームは「継続的な資産発見によって誤設定や古いRedisビルドを特定し、安全なシミュレーションで実際の悪用可能性を検証すべきです」と、セキュリティ企業TuskiraのCEO兼共同創業者であるPiyush Sharma氏は声明で述べています。また、信頼できないユーザー向けにはLuaを無効化し、エンドポイントおよびネットワークレベルでRedisプロセスの挙動を監視し、公開ノードを隔離するべきだとも述べています。
さらに、Redis自身も「より安全なデフォルト設定やファイアウォール保護を採用し、公開範囲を減らすことで防御に責任を持つべきだ」とSharma氏は付け加えています。
RediShellの発見を受けて、Redisも組織向けに独自の推奨事項を出しています。ベストプラクティスの一つは、ネットワークアクセスを認可されたユーザーとシステムのみに制限することです。また、組織はRedisの権限をユーザーIDごとに本当に必要なものだけに厳格に制限し、信頼できるIDだけがLuaスクリプトを実行したり、その他リスクのあるコマンドを実行できるようにすべきです。
翻訳元: https://www.darkreading.com/cloud-security/patch-now-redishell-redis-rce
