Lỗ hổng Redis 13 năm tuổi bị phát hiện: Lỗ hổng CVSS 10.0 cho chạy mã từ xa

[Starlink]

Redis đã tiết lộ thông tin chi tiết về lỗ hổng bảo mật nghiêm trọng nhất trong phần mềm cơ sở dữ liệu trong bộ nhớ có thể dẫn đến việc thực thi mã từ xa trong một số trường hợp nhất định.

Lỗ hổng bảo mật được theo dõi là CVE-2025-49844 (hay còn gọi là RediShell) đã được đánh giá ở mức CVSS là 10,0.

Theo khuyến cáo của GitHub về sự cố này, "Người dùng đã xác thực có thể sử dụng một tập lệnh Lua được thiết kế đặc biệt để thao túng trình thu gom rác, kích hoạt lệnh use-after-free và có khả năng dẫn đến việc thực thi mã từ xa". "Vấn đề này tồn tại ở tất cả các phiên bản Redis có tập lệnh Lua."

Tuy nhiên, để khai thác thành công, kẻ tấn công trước tiên phải có quyền truy cập được xác thực vào phiên bản Redis, do đó điều quan trọng là người dùng không để phiên bản Redis của mình tiếp xúc với internet và phải bảo mật chúng bằng xác thực mạnh.

Sự cố này ảnh hưởng đến tất cả các phiên bản Redis. Vấn đề đã được giải quyết trong các phiên bản 6.2.20, 7.2.11, 7.4.6, 8.0.4 và 8.2.2 phát hành vào ngày 3 tháng 10 năm 2025.

Để giải quyết tạm thời cho đến khi bản vá được áp dụng, chúng tôi khuyên bạn nên ngăn người dùng thực thi các tập lệnh Lua bằng cách thiết lập danh sách kiểm soát truy cập (ACL) để hạn chế các lệnh EVAL và EVALSHA. Điều quan trọng nữa là chỉ những danh tính đáng tin cậy mới có thể chạy các tập lệnh Lua hoặc bất kỳ lệnh nào khác có khả năng gây rủi ro.

Công ty bảo mật đám mây Wiz, đơn vị đã phát hiện và báo cáo lỗ hổng này cho Redis vào ngày 16 tháng 5 năm 2025, mô tả đây là lỗi hỏng bộ nhớ sử dụng sau khi giải phóng (UAF) đã tồn tại trong mã nguồn Redis trong khoảng 13 năm.

Về cơ bản, nó cho phép kẻ tấn công gửi một tập lệnh Lua độc hại dẫn đến việc thực thi mã tùy ý bên ngoài hộp cát trình thông dịch Redis Lua, cấp cho chúng quyền truy cập trái phép vào máy chủ cơ sở. Trong một kịch bản tấn công giả định, nó có thể bị lợi dụng để đánh cắp thông tin đăng nhập, cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc chuyển sang các dịch vụ đám mây khác.

"Lỗ hổng này cho phép kẻ tấn công sau khi xác thực gửi một tập lệnh Lua độc hại được thiết kế đặc biệt (một tính năng được hỗ trợ mặc định trong Redis) để thoát khỏi hộp cát Lua và thực thi mã gốc tùy ý trên máy chủ Redis", Wiz cho biết. "Điều này cấp cho kẻ tấn công quyền truy cập đầy đủ vào hệ thống máy chủ, cho phép chúng đánh cắp, xóa hoặc mã hóa dữ liệu nhạy cảm, chiếm đoạt tài nguyên và tạo điều kiện cho việc di chuyển ngang trong môi trường đám mây."

Mặc dù không có bằng chứng nào cho thấy lỗ hổng này đã từng bị khai thác ngoài thực tế, nhưng các máy chủ Redis vẫn là mục tiêu béo bở cho các tác nhân đe dọa muốn thực hiện các cuộc tấn công cryptojacking và đưa chúng vào mạng botnet. Tính đến thời điểm viết bài, có khoảng 330.000 máy chủ Redis bị lộ trên internet, trong đó khoảng 60.000 máy chủ không có bất kỳ xác thực nào.

"Với hàng trăm nghìn trường hợp bị lộ trên toàn thế giới, lỗ hổng này gây ra mối đe dọa đáng kể cho các tổ chức thuộc mọi ngành nghề", Wiz nói. "Sự kết hợp giữa việc triển khai rộng rãi, cấu hình mặc định không an toàn và mức độ nghiêm trọng của lỗ hổng tạo ra nhu cầu cấp thiết phải khắc phục ngay lập tức."