2025. 10. 07., 09:01

Az új Redis sebezhetőség mindent visz: kritikus veszélyben a felhő

Az új Redis sebezhetőség mindent visz: kritikus veszélyben a felhő
A Redis, amelyet a felhőszolgáltatások 75 százalékánál használnak memóriában történő gyors adattárolásra, több mint tíz éve rejt egy súlyos biztonsági hibát. A CVE-2025-49844 jelű, maximális veszélyességű sebezhetőség lehetővé teszi, hogy támadók speciálisan megírt Lua szkripttel – amit a rendszer alapértelmezetten engedélyez – teljes hozzáférést szerezzenek a Redis-t futtató gépekhez.

Teljes átjárhatóság a rendszereden

A biztonsági rés minden Redis-verziót érint, olyan támadók használhatják ki, akik előzetesen hitelesített hozzáféréssel rendelkeznek. Sikeres támadás esetén megkerülhetik a Lua sandboxot, reverse shellt nyithatnak, és úgy hajthatnak végre tetszőleges kódot, mintha te ülnél a gép előtt. Ezután belépési adatokat lophatnak, malware-t vagy kriptobányász programot telepíthetnek, érzékeny adatokat szerezhetnek meg, vagy akár a teljes szerverparkot végigjárhatják.

Veszélyben van több tízezer nyitott szerver

A Wiz szakértői 2025 májusában mintegy 330 000 nyilvánosan elérhető Redis-szervert találtak, ezek közül legalább 60 000 esetében semmilyen hitelesítés nem szükséges. Ezek a rendszerek a netes támadások elsődleges célpontjai. A Redis fejlesztői és a Wiz is felszólítják az adminokat: azonnal telepítsék a pénteken kiadott biztonsági frissítéseket, főleg az internet felől elérhető szervereken.

Mit tehetsz most?

A frissítés mellett tiltsd le a Lua szkriptek futtatását, csak a szükséges parancsokat engedélyezd, futtasd a Redis-t nem root felhasználóval. Használj tűzfalat, VPC-t, az admin csak megbízható hálózatról férjen hozzá. Naplózd a felhasználói aktivitást, és kapcsold be a monitorozást.


Bányászbotnetek özönlenek

A Redis nem először kerül célkeresztbe: a 2024-es P2PInfect botnet is Monero kriptobányász malware-t és zsarolóprogramokat telepített hasonló módon. Korábban több támadási hullámban is backdoort nyitottak és védelmi funkciókat kapcsoltak ki a Redis-szervereken, hogy erőforrásaikat illegális bányászatra használják.

Most a cloud a legkisebb hibát sem tűri

A világszerte több tízezer hibásan konfigurált vagy elavult Redis példány veszélyben van, a sebezhetőség pedig kritikus jelentőségű minden iparág számára. Ha nem frissítesz és nem zársz le minden felesleges nyitott kaput, könnyen botnet vagy zsarolóprogram áldozatává válhatsz, adataid pedig egy pillanat alatt eltűnhetnek vagy titkosítva zár alá kerülhetnek.

2025, adrienne, www.bleepingcomputer.com alapján

Legfrissebb posztok

MA 06:05

Történelmi események a mai napon (Július 10.)

Időutazás a történelembe: Julius Caesar majdnem elszenvedett macedóniai veresége, a Vichy-kormány megalakulása és a Death Valley hőmérsékleti rekordja mind ezen a napon történt...

MA 06:01

A Google Home beállításánál sokan elakadnak, és senki sem érti, miért

A Google új Home hangszórója igen viharosan rajtolt, hiszen hónapokkal a Pixel 10 bemutatója után, hosszas késlekedést és számos kiszivárgást követően jutott el a felhasználókhoz...

csütörtök 18:31

A fák növekedés után is elnyelik a szén-dioxidot

🌲 Az évszakok változása és az egyre melegebb éghajlat régi elméleteket kérdőjelez meg az erdők szénmegkötésével kapcsolatban...

csütörtök 17:01

Az A-vitamin új felfedezése átírja, amit a látásról hittünk

👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...

csütörtök 16:31

A Microsoft befoltozta a Defender nulladik napi RoguePlanet-hibáját

🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...

csütörtök 16:02

Az NHTSA nekimegy az önvezetőknek: útban vannak a mentőknek

🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...

csütörtök 14:31

A Linux-hiba, amivel kiszökhet a vendég VM — 250 ezer dollár a Google-tól

🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...

csütörtök 12:01

Az apró szilícium-dioxid-részecskék egerekben kiirtották az agresszív prosztatarákot

🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...

csütörtök 11:01

A Grok 4.5 már önmagában megéri az X-előfizetést?

💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...

csütörtök 10:49

A New Horizons felébredt: indul a küldetés a Plútón túl

321 napos alvás után újra felébredt a New Horizons űrszonda, amely már a Naprendszerünk peremén gyűjti az adatokat...

csütörtök 10:36

Az Einstein-jóslat beteljesült: a Föld magával sodorja a téridőt

Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...

csütörtök 10:24

A Samsung PM1763 PCIe Gen6 vállalati SSD már gyártásban

A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...

csütörtök 10:01

Az AirPods-gyártó Luxshare több mint 5%-ot zuhan hongkongi debütjén

💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...

csütörtök 09:49

A diagnosztikai rejtély: évekig hallotta a hangokat, mégsem pszichózis

Egy kanadai nő életét éveken át ismeretlen eredetű hanghallás keserítette meg...

csütörtök 09:37

A fényben is ütős OLED: Samsung vagy LG a nyerő?

A nappali központja ma már a televízió, főleg, ha nagy fényerejű helyiségben kell helytállnia...

csütörtök 09:25

A GPT-Live itt van: a ChatGPT végre emberien beszél

Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...

csütörtök 09:13

A T‑Mobile két legjobb akcióját már nem kapják meg saját ügyfelei

Megemlíthető, hogy az utóbbi hetekben a T‑Mobile ügyfeleinek egyre több csalódással kellett szembenézniük...

APP
csütörtök 09:11

APPok, Amik Ingyenesek MA, 7/9

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...

csütörtök 08:49

Az adriai harcos herceg 2500 éves sírja szekérrel és sisakkal került elő

Egy itáliai tengerparti kisváros földje alatt bukkantak rá egy rejtélyes ókori uralkodó temetkezési helyére...

csütörtök 08:37

A hackerek Roundcube-hibával kémkednek az egyetemi kutatók után

🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...

csütörtök 08:25

A tévém lebutításával léptem meg a követést – így tedd te is

Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...

csütörtök 08:13

Az FTC kiharcolta: a John Deere traktorai végre szabadon javíthatók

🚜 Az elmúlt évben komoly viták dúltak arról, javíthatják-e a gazdák saját gépeiket, vagy minden apróbb hibával szerelőhöz kell-e fordulniuk...

csütörtök 07:48

A nagy Ozempic–Wegovy baki: ezrek a toxikológián

🤒 Tipikus eset, amikor valami, ami elsőre kézenfekvőnek és egyszerűnek látszik, valójában jóval bonyolultabb, mint gondolnánk...

csütörtök 07:25

A foci-vb új csúcsra pörgette a Google-kereséseket

⚽ Páratlan forgalmat hozott a Google-nek a világbajnokság, minden eddigi keresési csúcsot megdöntve...

csütörtök 07:13

Az óceánfenék születése most tárul fel a legtisztábban

Kilométerekkel az óceán felszíne alatt a Föld tengerfenéke folyamatos mozgásban van...

csütörtök 07:01

A Harvard tudósai DNS-írót faragtak egy szilíciumchipből

🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...

csütörtök 06:36

A heidelbergi fizikusok egyesítettek két ellentétes kvantumelméletet – történelmi áttörés

💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...

csütörtök 06:06

Történelmi események a mai napon (Július 9.)

Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...

csütörtök 06:01

Az online piactereken még mindig tucatjával kínálnak veszélyes babatermékeket

🛑 A brit online piactereken még mindig tucatjával bukkannak fel veszélyes babatermékek, köztük önetető eszközök, párnák és hálózsákok...