- RedisはCVE-2025-49844を修正、Luaスクリプトの悪用によるリモートコード実行を可能にする重大なバグ
- この脆弱性は13年間存在しており、バージョン8.2.1以前に影響、8.2.2で修正済み
- 60,000以上の公開インスタンスが認証なし、早急なアップデートとACL制限が強く推奨される
人気のあるオープンソースデータストアであるRedisには、攻撃者がリモートで悪意のあるコードを実行できる重大な脆弱性が存在していました。この脆弱性は最新バージョンで修正されており、ユーザーは今すぐインストールするよう強く推奨されています。
Redis(Remote Dictionary Serverの略)は、データベース、キャッシュ、メッセージブローカーとして利用されるオープンソースのインメモリデータストアであり、幅広いクラウド環境で高速なデータアクセスやリアルタイムアプリケーションのために使用されています。
セキュリティ勧告によると、13年前にRedisのソースコードにuse-after-free脆弱性が導入されました。認証された攻撃者は、カスタムLuaスクリプトを作成してこの脆弱性を引き起こし、Luaサンドボックスを脱出してリバースシェルやリモートコード実行を可能にできます。これにより、認証情報の窃取やマルウェア感染、クリプトジャッカー、データ漏洩など、あらゆる悪意ある活動が可能となります。
数千の脆弱なインスタンス
このバグはCVE-2025-49844として追跡されており、深刻度スコアは9.9/10(クリティカル)とされています。バージョン8.2.1以前で発見され、8.2.2で修正されました。
最新バージョンにすぐにアップグレードできない場合は、ユーザーによるLuaスクリプトの実行を防ぐ必要があります。これはACLを使用してEVALおよびEVALSHAコマンドを制限することで実現できます。
セキュリティ研究者Wizの情報を引用し、BleepingComputerは、約33万のRedisインスタンスがオンラインで公開されており、そのうち少なくとも6万件が認証不要のため脆弱であると伝えています。
実際の脆弱なRedisインスタンスの数は、弱い認証情報や他の脆弱性によってすでに侵害されているデバイスも含めると、さらに多い可能性があります。
「広範な導入、デフォルトの安全でない設定、そして脆弱性の深刻さが組み合わさり、即時の対応が緊急に求められています。組織はRedisインスタンスのアップデートと適切なセキュリティ対策の実施を最優先し、悪用から守る必要があります」とWizは指摘しています。
