Critical RediShell RCE Vulnerability Threatens 8,500+ Redis Deployments Worldwide
2025/10/30 gbhackers — Redis の Lua スクリプト・エンジンに存在する深刻なセキュリティ脆弱性により、数千ものデータベース・インスタンスがリモート・コード実行攻撃に対して脆弱な状態となっている。RediShell と呼ばれる RCE の脆弱性 CVE-2025-49844 は、2025年10月の初旬にクラウド・セキュリティ企業 Wiz により公開されたものだ。この脆弱性を悪用する攻撃者は、Lua サンドボックスを回避し、use-after-free によるメモリ破損を引き起こし、ホスト・レベルの侵害を可能にすることが明らかにされた。
10 月下旬の時点で 8,500 を超える脆弱なインスタンスがインターネットに公開されているため、Redis 管理者とセキュリティ・チームは緊急のパッチ適用の必要性に直面している。
RediShell は、Redis の Lua インタープリタに存在するメモリ使用後の破損の脆弱性に起因する、セキュリティ上の複合的な弱点である。
このメモリ破損の脆弱性を悪用する攻撃者は、特別に細工された Lua スクリプトによりガベージ・コレクタの動作を操作し、意図されたサンドボックス環境からのエスケープを達成し、ホスト・システム上での任意のネイティブ・コード実行を可能にする。
この脆弱なコードパスは 2012年頃から存在しており、Lua スクリプト機能が有効化されている多数の Redis 環境の、複数のバージョンとコンフィグレーションが危険にさらされている。
CVE-2025-49844 の深刻度は、悪用ベクターへのアクセスの可能性により、さらに深刻化する。認証の無効化または不適切設定で公開された Redis インスタンスでは、自動スキャン・ツールにより脆弱なターゲットが特定され、低い技術的ハードルで悪意のペイロードが配信される可能性がある。
セキュリティ研究者たちが指摘するのは、Redis がアプリケーションの重要なデータ層として機能することが多い、クラウド・インフラおよびコンテナ環境において、この脆弱性の危険性が顕著になることだ。
Criminal IP Asset Search を用いて実施した脅威インテリジェンス分析によると、2025年10月27日の時点において、合計で 59,755 件の Redis インスタンスがインターネットに公開されていることが判明している。
それらのインスタンス数は、米国の 11,863 件がトップであり、それに続くのが中国の 6,473 件とフランスの 5,012 件である。
脆弱性 CVE-2025-49844 に絞り込んだ調査の結果では、世界中で約 8,500 件のインスタンスにフラグが付けられ、パッチが未適用の状態が判明している。
地理的な分布
Criminal IP の要素分析により、脆弱なインスタンスが特定の地域に集中していることも判明した。最も多くの脆弱性を抱えているのは、米国に存在するインスタンス 1,887 件である。それに続くのが、フランスの 1,324 件とドイツの 929 件である。
これらの3カ国で世界の脆弱性の 50% 以上を占めており、Redis インフラの集中度が高い状況もしくは、公開インフラ内で未認証のインスタンスが広く展開されている状況が示唆される。
検索結果の右下にある “More” ボタンをクリックすると、基本的な検索結果に加えて、国別の要素分析データが表示される。
日本では脆弱なインスタンスが 67 件検出され、世界の 20 位にランクされている。影響を受けるシステムの多くは、リスク・カテゴリで “Dangerous” もしくは “Critical” という評価を受けており、パブリック・ルーティング・パスを介して直接到達可能であることを示している。
このアクセス可能性を悪用する脅威アクターは、自動スキャン技術を利用して脆弱なサーバを発見し、悪意の Lua スクリプトを展開することで、ホストを完全に侵害できる。
特定の脆弱な IP アドレスの詳細な分析により、複合的なリスク要因が明らかになった。複数の脆弱な公開インスタンスにおいては、CVE-2025-49844 の存在に加えて、Redis のポート 6379 と MySQL のポート 3306 などの多数のポートが開いている。
これらの複数サービスの露出により、単一の脆弱性の悪用が相互接続されたサービス全体に連鎖的に影響を及ぼし、潜在的な影響範囲が大幅に拡大するシナリオが生まれる。
典型的な RediShell の悪用シーケンスは、use-after-free の脆弱性を悪用する、特別に細工された悪意の Lua スクリプトの配信から始まる。この侵害が成功すると、スクリプトは Lua サンドボックスの境界を回避し、任意のネイティブ・コード実行を実現する。
その結果として、リバースシェルやバックドアをインストールした攻撃者は永続性を確立し、最初の検出の試行後においてもリモート・アクセスを継続できるようになる。
システム侵害後における脅威アクターは認証情報の窃取に着手し、Redis インスタンスと基盤となるホストの双方から SSH キー/IAM トークン/証明書/データベース認証情報などを抽出する。
これにより、クラウド環境やネットワーク・システム間でのラテラル・ムーブメントが可能になる。その他の悪意の活動として挙げられるのは、暗号通貨マイナーの展開/機密データの窃取/窃取した認証情報を用いたサービス間での権限昇格などである。
緩和策
RediShell の悪用に対する防御策は、速やかなパッチの適用である。ユーザー組織にとって必要なことは、公式セキュリティ・アドバイザリに従い、CVE-2025-49844 に対するパッチが適用された Redis バージョンへとアップグレードすることだ。
迅速なパッチ適用が不可能な場合は、パッチ適用のスケジュールを検討しながら、一時的な緩和策を実施する必要がある。
認証の強制は、重要な二次的制御である。AUTH または ACL (access control list) を有効化すると、すべての Redis 接続で適切な認証が必須となり、最も悪用されやすい攻撃ベクターを排除できる。
したがって組織として優先すべきは、デフォルト設定で認証が無効化された状態でデプロイされているインスタンスの確認となる。
また、コマンド・レベルの制限により、さらに防御を強化できる。EVAL/EVALSHA などの Lua 実行コマンドの権限を無効化または削除することで、これらの機能に関連する攻撃対象領域を縮小できる。
ファイアウォール・ルールやセキュリティ・グループ設定などのネットワーク・レベルの保護により、Redis ポートへのパブリック・インターネットからの直接アクセスをブロックできる。さらに、アプリケーション・サブネット/VPN/要塞ホストへの接続も制限する必要がある。
脅威インテリジェンス・プラットフォームを用いた継続的な監視により、インターネットに公開されているインスタンスの継続的な検出/認証状況の追跡/異常なアクティビティの特定などが可能になる。
Redis の Lua エンジンに存在する use-after-free 型のメモリ破損と、Lua の実行機能である EVAL などの許可により、公開されているインスタンスが危険な状態にあります。クラウドで公開インスタンスが多く、デフォルト設定やポート開放が攻撃を容易にしているため、自動スキャンで悪用される点も被害を拡大していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Redis で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.