Az új Redis sebezhetőség mindent visz: kritikus veszélyben a felhő
A Redis, amelyet a felhőszolgáltatások 75 százalékánál használnak memóriában történő gyors adattárolásra, több mint tíz éve rejt egy súlyos biztonsági hibát. A CVE-2025-49844 jelű, maximális veszélyességű sebezhetőség lehetővé teszi, hogy támadók speciálisan megírt Lua szkripttel – amit a rendszer alapértelmezetten engedélyez – teljes hozzáférést szerezzenek a Redis-t futtató gépekhez.
Teljes átjárhatóság a rendszereden
A biztonsági rés minden Redis-verziót érint, olyan támadók használhatják ki, akik előzetesen hitelesített hozzáféréssel rendelkeznek. Sikeres támadás esetén megkerülhetik a Lua sandboxot, reverse shellt nyithatnak, és úgy hajthatnak végre tetszőleges kódot, mintha te ülnél a gép előtt. Ezután belépési adatokat lophatnak, malware-t vagy kriptobányász programot telepíthetnek, érzékeny adatokat szerezhetnek meg, vagy akár a teljes szerverparkot végigjárhatják.
Veszélyben van több tízezer nyitott szerver
A Wiz szakértői 2025 májusában mintegy 330 000 nyilvánosan elérhető Redis-szervert találtak, ezek közül legalább 60 000 esetében semmilyen hitelesítés nem szükséges. Ezek a rendszerek a netes támadások elsődleges célpontjai. A Redis fejlesztői és a Wiz is felszólítják az adminokat: azonnal telepítsék a pénteken kiadott biztonsági frissítéseket, főleg az internet felől elérhető szervereken.
A frissítés mellett tiltsd le a Lua szkriptek futtatását, csak a szükséges parancsokat engedélyezd, futtasd a Redis-t nem root felhasználóval. Használj tűzfalat, VPC-t, az admin csak megbízható hálózatról férjen hozzá. Naplózd a felhasználói aktivitást, és kapcsold be a monitorozást.
Bányászbotnetek özönlenek
A Redis nem először kerül célkeresztbe: a 2024-es P2PInfect botnet is Monero kriptobányász malware-t és zsarolóprogramokat telepített hasonló módon. Korábban több támadási hullámban is backdoort nyitottak és védelmi funkciókat kapcsoltak ki a Redis-szervereken, hogy erőforrásaikat illegális bányászatra használják.
Most a cloud a legkisebb hibát sem tűri
A világszerte több tízezer hibásan konfigurált vagy elavult Redis példány veszélyben van, a sebezhetőség pedig kritikus jelentőségű minden iparág számára. Ha nem frissítesz és nem zársz le minden felesleges nyitott kaput, könnyen botnet vagy zsarolóprogram áldozatává válhatsz, adataid pedig egy pillanat alatt eltűnhetnek vagy titkosítva zár alá kerülhetnek.
Négy feltételezett hacktivistát vett őrizetbe a spanyol Polgárőrség, akik a gyanú szerint több kormányzati minisztérium, politikai párt és közintézmény ellen indítottak kibertámadásokat...
📈 A nullaórás szerződések száma rekordot döntött az Egyesült Királyságban, mivel decemberben már 1,23 millió munkavállalót érintett ez a foglalkoztatási forma...
A fejlemények villámgyorsan követték egymást az Artemis II történetében: a NASA történelmi holdrakétája újabb akadályba ütközött, miután egy héliumáramlási probléma miatt ismét csúszik a régóta várt indítás...
Májusban két idegen kopogtatott Ida Huddleston, egy kentucky-i gazdálkodó ajtaján. Több mint 11 milliárd forint értékű szerződést hoztak, cserébe a 260 hektáros, generációk óta családja megélhetését biztosító gazdaságáért...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. OneLLM : Private & Online LLM (iPhone/iPad)A OneLLM egy korszerű, kétmotoros mesterséges intelligencia-megoldás, amely a legújabb AI technológiát hozza el közvetlenül az eszközödre...
🤧 A Stanford Medicine kutatói új fejezetet nyitottak a járványok elleni védekezésben: egérkísérletekben olyan univerzális orrspray-vakcinát fejlesztettek ki, amely egyszerre véd a COVID-19, az influenza, a bakteriális tüdőgyulladás és még egyes allergének ellen is...
🤖 Egyre elterjedtebb, hogy MI-ügynökök kapnak szinte szabad kezet a digitális életünkben: e-maileket törölnek, fájlokat mozgatnak, találkozókat foglalnak le, üzeneteket írnak, és néha akár életbevágó helyzetekben is tanácsot adnak...
Egy új típusú vérvizsgálat forradalmasíthatja az Alzheimer-kór korai felismerését. Egyetlen vérvétel alapján már évekkel az első emlékezetkiesés előtt megjósolható, mikor jelentkeznek a betegség első tünetei...
A lakásbérlők gyakran érzik magukat sebezhetőnek, amikor otthonuk védelméről van szó, hiszen a hagyományos rendszerek bonyolult telepítést és maradandó változtatásokat igényelnek...
Egy egyszerű programozási hiba miatt hónapokon át bárki hozzáférhetett a PayPal Working Capital alkalmazás üzleti felhasználóinak személyes adataihoz...
Az elmúlt hónapokban a vezető technológiai vállalatok soha nem látott mértékben növelték MI-vel kapcsolatos beruházásaikat, ám egyre gyakrabban fordulnak hitelpiacokhoz a finanszírozáshoz, ahelyett, hogy saját készpénzállományukból fedeznék a kiadásokat...
🤖 Az internetes tartalomgyártókra és a mögöttük álló üzleti modellekre sosem nehezedett ekkora nyomás: a YouTube-sztár MrBeast épp perel, és közben a TikTok anyavállalatánál, a ByteDance-nél is forrnak az indulatok az új Seedance 2...
💳 Franciaországban ismeretlen támadó behatolt a francia állami adatbázisba, amely az összes banki számlát tartalmazza, és 1,2 millió bankszámla személyes adatait szerezte meg...
🔍 Az elmúlt évtized ugrásszerű fejlődést hozott az emberi genetika terén, miközben egyre több genetikai technológia lépett ki a laboratóriumokból, és vált elérhetővé a fogyasztók számára is...
