サイバーニュース.jp

世界のサイバーなニュースを配信

Redis、数千のインスタンスに影響を与える重大な脆弱性を警告

カテゴリ:

, , , , , , , , ,

はじめに

Redisセキュリティチームは、数千の脆弱なインスタンスで攻撃者がリモートコード実行(RCE)を可能にする可能性のある、最大深刻度の脆弱性に対するパッチをリリースしました。オープンソースのデータ構造ストアであるRedisは、約75%のクラウド環境で使用されており、データベース、キャッシュ、メッセージブローカーとして機能し、超高速アクセスを実現するためにデータをRAMに保存しています。

脆弱性の詳細:CVE-2025-49844「RediShell」とは

このセキュリティ上の欠陥(追跡番号:CVE-2025-49844)は、Redisのソースコードで発見された13年前のuse-after-freeの脆弱性によって引き起こされます。これは、デフォルトで有効になっているLuaスクリプト機能を悪用し、認証された脅威アクターによって悪用される可能性があります。成功した場合、攻撃者はLuaサンドボックスを回避し、use-after-freeをトリガーし、永続的なアクセスを得るためのリバースシェルを確立し、ターゲットのRedisホスト上でリモートコード実行を達成することができます。

この脆弱性は、2025年5月にPwn2Own Berlinでセキュリティ問題として報告したWizの研究者によって発見され、彼らはこれを「RediShell」と名付けました。

攻撃の影響と危険性:認証なしで公開されたインスタンスの脅威

Redisホストが侵害されると、攻撃者は認証情報を盗んだり、マルウェアや仮想通貨マイニングツールをデプロイしたり、Redisから機密データを抽出したり、被害者のネットワーク内の他のシステムに横方向に移動したり、盗んだ情報を使用して他のクラウドサービスにアクセスしたりする可能性があります。

Wizの研究者は、「これにより、攻撃者はホストシステムへの完全なアクセス権を得て、機密データの流出、消去、暗号化、リソースの乗っ取り、クラウド環境内での横方向の移動を容易にします」と述べています。

この脆弱性の悪用には、攻撃者がまずRedisインスタンスへの認証済みアクセスを得る必要がありますが、Wizの調査では、約330,000のRedisインスタンスがオンラインで公開されており、そのうち少なくとも60,000は認証を必要としないことが判明しています。RedisとWizは、管理者に対し、特にインターネットに公開されているインスタンスを優先して、金曜日にリリースされたセキュリティアップデートを直ちに適用するよう強く求めました。

影響を受けるリリースと修正済みリリース

  • 脆弱性:[CVE-2025-49844] Lua Use-After-Freeによりリモートコード実行につながる可能性
  • CVSSスコア:10.0 (Critical)
  • 影響を受けるリリース:すべてのRedisソフトウェアリリース、すべてのRedis OSS/CE/Stackリリース(Luaスクリプトを使用)
  • 修正済みリリース:
    • Redis Software: 7.22.2-12以上, 7.8.6-207以上, 7.4.6-272以上, 7.2.4-138以上, 6.4.2-131以上
    • OSS/CE: 8.2.2以上, 8.0.4以上, 7.4.6以上, 7.2.11以上
    • Stack: 7.4.0-v7以上, 7.2.0-v19以上

推奨される対策

リモート攻撃からRedisインスタンスをさらに保護するために、管理者は以下の対策を講じることもできます。

  • 認証を有効にする
  • Luaスクリプトやその他の不要なコマンドを無効にする
  • 非rootユーザーアカウントを使用してRedisを起動する
  • Redisのロギングと監視を有効にする
  • 承認されたネットワークのみにアクセスを制限する
  • ファイアウォールと仮想プライベートクラウド(VPC)を使用してネットワークレベルのアクセス制御を実装する

過去の攻撃事例:Redisを狙ったマルウェアの脅威

脅威アクターは、マルウェアやクリプトマイナーを感染させるボットネットを介してRedisインスタンスを頻繁に標的にしています。例えば、2024年6月には、P2PInfectとして知られるピアツーピアマルウェアボットネットが、インターネットに公開されパッチが適用されていないRedisサーバーを標的とした攻撃で、Moneroクリプトマイニングマルウェアをインストールし、ランサムウェアモジュールを展開しました。以前にも、RedisサーバーはRedigoマルウェアによってバックドアが仕掛けられたり、HeadCrabやMigoマルウェア攻撃に感染したりしており、これらは侵害されたインスタンスの保護機能を無効にし、Monero仮想通貨をマイニングするために乗っ取られました。

まとめ

「RediShell(CVE-2025-49844)は、その根本原因が基盤となるLuaインタープリターにあるため、すべてのRedisバージョンに影響を与える重大なセキュリティ脆弱性です。世界中で数十万のインスタンスが公開されているため、この脆弱性はあらゆる業界の組織にとって重大な脅威となります」とWizはBleepingComputerに共有されたレポートで警告しています。「広範な展開、デフォルトの安全でない構成、および脆弱性の深刻さの組み合わせは、即時の修復の緊急性を生み出します。組織は、Redisインスタンスの更新と適切なセキュリティ制御の実装を優先し、悪用から保護する必要があります。」

元記事: https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

投稿をさらに読み込む