A súlyosság és az elterjedtség robbanó keveréke
A Redis most először kapott kritikus minősítést biztonsági problémára: a 10.0 CVSS-pont olyan ritka, extrém szint, amelyet az elmúlt évben mindössze körülbelül 300 hibánál alkalmaztak. A veszélyt nem csak maga a távoli kódfuttatás lehetősége jelenti, hanem az is, hogy a Redis mindennapos használatban van: számos vállalatnál ez a rendszer fut a háttérben gyorsítótárazásra, session-kezelésre vagy épp üzenetközvetítésre. Bár a Redis eddig stabil, biztonságos rendszer hírében állt, pont a népszerűsége miatt válik most extrém kockázati tényezővé ez a sebezhetőség.
Kitettség és statisztikák
A Wiz kutatása szerint jelenleg mintegy 330 ezer Redis példány elérhető nyilvánosan az interneten, ezek közül 60 ezer teljesen hitelesítés nélkül használható. A felhőkörnyezeti Redis-futtatások 57%-a konténerként működik, amelyek jelentős része nem kapott megfelelő biztonsági karbantartást. Fontos megjegyezni, hogy a rendszer – alapértelmezésként – nem követel meg jelszavas hitelesítést. Következésképp bárki elérheti ezeket az instanciákat, Lua szkripteket futtathat rajtuk, és kihasználva a hibát rendszerszintű kódot indíthat. Az „internet felé nyitva + hitelesítés nélkül” párosítás a legveszélyesebb, de akár belső hálózatra kötött, jelszó nélküli példányok is támadhatók.
Támadási lánc, hatások
A támadás menete: először is, egy támadó elküld egy gondosan megírt Lua szkriptet a Redisnek, ezzel aktiválja a memóriakezelési hibát. Ezáltal ki tud lépni a Lua sandboxból, és már tetszőleges natív kódot futtathat a gépen – például reverse shellen keresztül tartós hozzáférést szerez. Ezt követően kiolvashatja a szerver hitelesítő adatait (SSH kulcsokat, felhős tokeneket, tanúsítványokat), telepíthet kártékony szoftvert vagy kriptobányász programokat, illetve érzékeny adatokat szivárogtathat ki. A privilégiumok kihasználásával a támadó továbbléphet más felhőszolgáltatásokra is.
Ennek alapján megállapítható, hogy a RediShell sérülékenységgel bármely, jelenleg nem frissített Redis-környezet mélyen kompromittálható.
Mit tegyél az azonnali védelemért?
A Redis fejlesztői október elején kiadták a javítást – mindenki számára elsődleges teendő az azonnali szoftverfrissítés, főleg az interneten elérhető példányoknál. További biztonsági rétegeket is érdemes bevezetni: kötelező jelszavas védelmet (requirepass), Lua szkriptek letiltását (ha nincs rájuk szükség), scripting jogok visszavonását vagy bizonyos parancsok tiltását, nem root felhasználóval történő üzemeltetést, naplózás és monitorozás bekapcsolását, valamint hálózati szempontból tűzfalak, privát felhőhálózatok használatát, továbbá a hozzáférési jogosultságok szűkítését.
Ha a szervezeted Wiz-t használ, a Wiz Threat Center gyorsan átvizsgálja, hogy érintett vagy-e: felismeri és figyelmeztet minden rosszul konfigurált, védtelen Redis példányra.
Mérleg: a RediShell tanulságai
A RediShell (CVE-2025-49844) minden – régi és új – Redis verziót érint, mert a hiba a Lua interpreter magjában rejtőzik. Világszerte ezrek, sőt százezrek futtatják a Redis-t éles környezetben, gyakran alapértelmezett, gyenge biztonsági beállításokkal. Ez az eset rámutat, mennyire sérülékeny lehet a modern IT, ha egy széles körben használt, nyitott szoftverben ekkora hiba marad évtizedekig. Fontos, hogy csak közös fellépéssel, gyors hibajavítással és biztonságtudatos beállításokkal lehet érdemben mérsékelni a fenyegetést.
Ennek alapján megállapítható, hogy a RediShell incidens minden felhasználónak figyelmeztetés: halaszthatatlanul frissítsd a Redis-t, és ne hanyagold el az alapvető védelmi lépéseket – a következő támadás bármikor elindulhat, és óriási anyagi (akár több tízmillió forintos) kár érheti a cégedet, ha késlekedsz.
