Redis warns of critical flaw impacting thousands of instances
2025/10/06 BleepingComputer — Redis セキュリティ・チームが発表したのは、数千の脆弱なインスタンス上で攻撃者にリモートコード実行を許す可能性がある、深刻度の高い脆弱性 CVE-2025-49844 に対するパッチのリリースである。Redis (Remote Dictionary Server) は、約 75% のクラウド環境で使用されているオープンソースのデータ・ストラクチャ・ストアであり、データベース/キャッシュ/メッセージ・ブローカーとして機能し、超高速アクセスを実現するためにデータを RAM に保存している。
この脆弱性は、13 年前に Redis のソースコードに存在していた、解放後使用 (Use-After-Free) の欠陥に起因しており、特別に細工した Lua スクリプト (デフォルトで有効化) を用いる、認証済みの攻撃者により悪用される可能性がある。
この脆弱性の悪用に成功した攻撃者は、Lua サンドボックスを回避し、メモリの解放後使用を誘発できる。その結果として、永続アクセスのためのリバースシェルの確立や、標的とする Redis ホスト上でのリモート・コード実行を可能にする。
Redis ホストに侵入した攻撃者は、認証情報の窃取/マルウェアの展開/暗号通貨マイニングツールの展開/Redis からの機密データ抽出/ネットワーク内での水平移動などに加えて、盗み出した情報の悪用による他クラウドへのアクセスを可能にする。
2025年5月にベルリンで開催された Pwn2Own において、この “RediShell” 問題を報告した Wiz の研究者は、「攻撃者は、ホストシステムへの完全なアクセス権を取得し、機密データの持ち出し、消去/暗号化/リソースの乗っ取り/クラウド環境内での横展開などを可能にする」と述べている。
この攻撃を成立させる前提として、攻撃者は Redis インスタンスへの認証済みアクセスを取得する必要があるが、約 33 万の Redis インスタンスがオンラインで公開されており、そのうち少なくとも6万は、認証を必要としない状態であることを、Wiz は確認している。
Redis と Wiz が管理者に対して強く推奨するのは、10月3日 (金) にリリースされたセキュリティ・アップデートを、インターネットに公開されているインスタンスに対して、最優先に提供することである。
脆弱性情報
影響を受けるリリースおよび修正版:
| Vulnerability | Impacted releases | Fixed releases |
|---|---|---|
| [CVE-2025-49844] Lua Use-After-Free may lead to remote code execution CVSS Score: 10.0 (Critical) | All Redis Software releases | 7.22.2-12 and above, 7.8.6-207 and above, 7.4.6-272 and above, 7.2.4-138 and above, 6.4.2-131 and above |
| All Redis OSS/CE/Stack releases with Lua scripting | OSS/CE: 8.2.2 and above, 8.0.4 and above, 7.4.6 and above, 7.2.11 and above, Stack: 7.4.0-v7 and above, 7.2.0-v19 and above |
推奨される防御策
Redis インスタンスをリモート攻撃から保護するため、管理者は次の対策を実施すべきである。
- 認証を有効化する。
- Lua スクリプトおよび不要なコマンドを無効化する。
- Redis の実行を非ルート・ユーザーアカウントに制限する。
- ログ記録およびモニタリングを有効化する。
- Redis アクセスを許可されたネットワークのみに制限する。
- ファイアウォールや VPC を用いたネットワーク・アクセス制御を実施する。
Wiz は、「RediShell (CVE-2025-49844) の原因は、基盤となる Lua インタープリタにあるため、すべての Redis バージョンに影響が及ぶことになる。世界中の数十万のインスタンスが影響を受けており、あらゆる業界の組織にとって、深刻な脅威になる」と、BleepingComputer に述べている。
同社は、「広範な導入状況やデフォルトのアンセキュアなコンフィグと、この脆弱性の重大性を踏まえると、迅速な修正が不可欠となる。組織にとって必要なことは、Redis インスタンスを最優先で更新し、悪用を防ぐための適切なセキュリティ対策を直ちに講じることである」と、付け加えている。
マルウェアや暗号通貨マイナーを感染させるボットネットを通じて、脅威アクターたちは Redis インスタンスを頻繁に標的としている。たとえば 2024年6月には、P2PInfect と呼ばれる P2P マルウェア・ボットネットが、インターネットに公開されパッチ未適用の Redis サーバーを攻撃し、Monero 暗号通貨マイニングマルウェアをインストールし、さらにはランサムウェア・モジュールも展開している。
それ以前にも、HeadCrab や Migo マルウェア攻撃に感染した Redis サーバには、Redigo マルウェアのバックドアが仕込まれていた。これらの攻撃では、侵害されたインスタンスの保護機能が無効化され、Monero 暗号通貨のマイニング目的で乗っ取られていた。
今回の Redis の脆弱性は、13 年前から残存している、Lua インタープリタ側の Use-After-Free に起因します。デフォルトで有効化されている Lua スクリプトを、認証済みユーザーが悪用することで、サンドボックスの回避や、公開されているインスタンス上でのリモートコード実行が引き起こされる可能性があります。ご利用のチームは、ご注意ください。よろしければ、Redis で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.