Redis ha revelado
detalles de una falla de seguridad de máxima gravedad en su software de base
de datos en memoria que podría provocar la ejecución remota de código en
determinadas circunstancias.
La vulnerabilidad, identificada como
CVE-2025-49844
(también conocida como RediShell), ha recibido una puntuación CVSS de 10.0.
«Un usuario autenticado podría usar un script Lua especialmente diseñado
para manipular el recolector de elementos no utilizados, activar un proceso
de uso después de la liberación y potencialmente provocar la ejecución
remota de código», según un
aviso de GitHub
sobre el problema.
«El problema existe en todas las versiones de Redis con scripts Lua».
La empresa de seguridad en la nube Wiz, que
descubrió e informó de la falla a Redis
el 16 de mayo de 2025, la describió como un error de corrupción de memoria de
uso después de la liberación (UAF) que ha existido en el código fuente de
Redis durante aproximadamente 13 años.
Sin embargo, para que la explotación tenga éxito,
es necesario que un atacante obtenga primero acceso autenticado a una
instancia de Redis, por lo que
es crucial que los usuarios no dejen sus instancias de Redis expuestas a
Internet y las protejan con una autenticación robusta.
El problema afecta a todas las versiones de Redis. Se ha solucionado en
las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2, publicadas el 3 de octubre
de 2025.
Como solución temporal hasta que se pueda aplicar un parche, se recomienda
evitar que los usuarios ejecuten scripts de Lua mediante la configuración de
una lista de control de acceso (ACL) para restringir los comandos
EVAL y EVALSHA. También es crucial que solo las identidades de
confianza puedan ejecutar scripts de Lua o cualquier otro comando
potencialmente riesgoso.
Básicamente, permite a un atacante enviar un script de Lua malicioso
que provoca la ejecución de código arbitrario fuera del entorno de pruebas del
intérprete de Lua de Redis, lo que le otorga acceso no autorizado al host
subyacente. En un escenario de ataque hipotético, podría aprovecharse para
robar credenciales, instalar malware, exfiltrar datos confidenciales o migrar
a otros servicios en la nube.
«Esta falla permite a un atacante post-autenticación enviar un script Lua
malicioso especialmente diseñado (una función compatible por defecto en
Redis) para escapar del entorno de pruebas de Lua y ejecutar código nativo
arbitrario en el host de Redis», afirmó Wiz.
«Esto otorga al atacante acceso total al sistema host, lo que le permite
exfiltrar, borrar o cifrar datos confidenciales, secuestrar recursos y
facilitar el movimiento lateral dentro de los entornos de nube».
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la
práctica, las instancias de Redis son un objetivo lucrativo para los actores
de amenazas que buscan realizar ataques de cryptojacking e incorporarlas a una
botnet. Al momento de escribir este artículo, hay alrededor de 330.000
instancias de Redis expuestas a internet, de las cuales unas 60.000 carecen de
autenticación.
«Con cientos de miles de instancias expuestas en todo el mundo, esta
vulnerabilidad representa una amenaza significativa para organizaciones de
todos los sectores», afirmó Wiz.
«La combinación de una implementación generalizada, configuraciones
predeterminadas inseguras y la gravedad de la vulnerabilidad crea una
necesidad urgente de remediación inmediata».
Fuente:
THN