Redis、数千のインスタンスに影響する重大な欠陥を警告

Redisのセキュリティ・チームは、攻撃者が数千の脆弱なインスタンス上でリモート・コード実行を可能にする最大重大度の脆弱性に対するパッチをリリースした。

Redis（Remote Dictionary Serverの略）は、約75％のクラウド環境で使用されているオープンソースのデータ構造ストアであり、データベース、キャッシュ、メッセージ・ブローカーのように機能し、超高速アクセスのためにデータをRAMに保存する。

セキュリティ上の欠陥（CVE-2025-49844として追跡されている）は、Redisのソースコードに見つかった13年前のuse-after-freeの弱点に起因するもので、特別に細工されたLuaスクリプト（デフォルトで有効になっている機能）を使用して、認証済みの脅威行為者が悪用することができます。

悪用に成功すると、Luaサンドボックスから抜け出し、use-after-freeをトリガーし、永続的なアクセスのためのリバースシェルを確立し、標的となるRedisホスト上でリモートでコードを実行することが可能になります。

Redisホストを侵害した後、攻撃者は認証情報を盗んだり、マルウェアや暗号通貨マイニングツールを展開したり、Redisから機密データを抜き取ったり、被害者のネットワーク内の他のシステムに移動したり、盗んだ情報を使用して他のクラウドサービスにアクセスしたりすることができます。

「Wizの研究者は、2025年5月にベルリンのPwn2Ownでこのセキュリティ問題を報告し、RediShellと名付けました。

悪用を成功させるには、攻撃者がまずRedisインスタンスに認証されたアクセスを得る必要があるが、Wizはオンライン上で約33万個のRedisインスタンスが公開されていることを発見し、そのうち少なくとも6万個は認証を必要としていないことを明らかにした。

RedisとWizは、管理者に対し、金曜日にリリースされたセキュリティ・アップデートを適用し、インスタンスに直ちにパッチを当てるよう促している。

リモート攻撃からRedisインスタンスをさらに保護するために、管理者は認証を有効にし、Luaスクリプトやその他の不要なコマンドを無効にし、Redisを非rootユーザーアカウントで起動し、Redisのロギングと監視を有効にし、アクセスを許可されたネットワークのみに制限し、ファイアウォールやVirtual Private Clouds（VPC）を使用してネットワークレベルのアクセス制御を実装することもできます。

「RediShell（CVE-2025-49844）は、基盤となるLuaインタプリタに根本的な原因があるため、すべてのRedisバージョンに影響する重大なセキュリティ脆弱性です。この脆弱性は、世界中で数十万ものインスタンスが公開されており、あらゆる業界の組織にとって重大な脅威となっています。

「広範な導入、デフォルトの安全でない設定、脆弱性の深刻さの組み合わせにより、早急な修正が必要です。組織は、Redisインスタンスのアップデートを優先し、悪用から保護するために適切なセキュリティ管理を実施する必要があります。

脅威者は、マルウェアやクリプトマイナーに感染させるボットネットを介して、Redisインスタンスを頻繁に標的としています。例えば、2024年6月には、P2PInfectとして知られるピアツーピア・マルウェア・ボットネットが、インターネットに公開され、パッチが適用されていないRedisサーバーを標的とした攻撃で、Moneroクリプトマイニング・マルウェアをインストールし、ランサムウェア・モジュールを展開しました。

以前にも、RedisサーバーはRedigoマルウェアでバックドアされ、HeadCrabおよびMigoマルウェア攻撃で感染し、侵害されたインスタンスの保護機能を無効にし、Monero暗号通貨のマイニングのためにハイジャックされました。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。

今すぐ登録