Redis ha revelado detalles de una falla de seguridad de máxima gravedad en su software de base de datos en memoria que podría provocar la ejecución remota de código en determinadas circunstancias.
La vulnerabilidad, identificada como CVE-2025-49844 (también conocida como RediShell), ha recibido una puntuación CVSS de 10.0. "Un usuario autenticado podría usar un script Lua especialmente diseñado para manipular el recolector de elementos no utilizados, activar un proceso de uso después de la liberación y potencialmente provocar la ejecución remota de código", según un aviso de GitHub sobre el problema. "El problema existe en todas las versiones de Redis con scripts Lua".
La empresa de seguridad en la nube Wiz, que descubrió e informó de la falla a Redis el 16 de mayo de 2025, la describió como un error de corrupción de memoria de uso después de la liberación (UAF) que ha existido en el código fuente de Redis durante aproximadamente 13 años.
Sin embargo, para que la explotación tenga éxito, es necesario que un atacante obtenga primero acceso autenticado a una instancia de Redis, por lo que es crucial que los usuarios no dejen sus instancias de Redis expuestas a Internet y las protejan con una autenticación robusta.
El problema afecta a todas las versiones de Redis. Se ha solucionado en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2, publicadas el 3 de octubre de 2025.
Como solución temporal hasta que se pueda aplicar un parche, se recomienda evitar que los usuarios ejecuten scripts de Lua mediante la configuración de una lista de control de acceso (ACL) para restringir los comandos EVAL y EVALSHA. También es crucial que solo las identidades de confianza puedan ejecutar scripts de Lua o cualquier otro comando potencialmente riesgoso.
Básicamente, permite a un atacante enviar un script de Lua malicioso que provoca la ejecución de código arbitrario fuera del entorno de pruebas del intérprete de Lua de Redis, lo que le otorga acceso no autorizado al host subyacente. En un escenario de ataque hipotético, podría aprovecharse para robar credenciales, instalar malware, exfiltrar datos confidenciales o migrar a otros servicios en la nube.
"Esta falla permite a un atacante post-autenticación enviar un script Lua malicioso especialmente diseñado (una función compatible por defecto en Redis) para escapar del entorno de pruebas de Lua y ejecutar código nativo arbitrario en el host de Redis", afirmó Wiz. "Esto otorga al atacante acceso total al sistema host, lo que le permite exfiltrar, borrar o cifrar datos confidenciales, secuestrar recursos y facilitar el movimiento lateral dentro de los entornos de nube".
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la práctica, las instancias de Redis son un objetivo lucrativo para los actores de amenazas que buscan realizar ataques de cryptojacking e incorporarlas a una botnet. Al momento de escribir este artículo, hay alrededor de 330.000 instancias de Redis expuestas a internet, de las cuales unas 60.000 carecen de autenticación.
"Con cientos de miles de instancias expuestas en todo el mundo, esta vulnerabilidad representa una amenaza significativa para organizaciones de todos los sectores", afirmó Wiz. "La combinación de una implementación generalizada, configuraciones predeterminadas inseguras y la gravedad de la vulnerabilidad crea una necesidad urgente de remediación inmediata".
Fuente: THN