A equipe de segurança do Redis lançou patches para corrigir uma vulnerabilidade de gravidade máxima que pode permitir a execução remota de código em milhares de instâncias vulneráveis.
O Redis (abreviação de Remote Dictionary Server) é um armazenamento de estruturas de dados open-source, usado em cerca de 75% dos ambientes em nuvem.
Ele funciona como banco de dados, cache e message broker, armazenando informações na memória RAM para acesso ultrarrápido.
A falha de segurança, identificada como
CVE-2025-49844
, é causada por uma vulnerabilidade use-after-free presente há 13 anos no código-fonte do Redis.
Essa falha pode ser explorada por agentes maliciosos autenticados por meio de um script Lua especialmente criado — recurso que vem habilitado por padrão.
Ao explorar com sucesso essa vulnerabilidade, o atacante consegue escapar da sandbox do Lua, disparar o use-after-free, abrir um reverse shell para manter acesso persistente e executar código remotamente no servidor Redis alvo.
Com o controle sobre o host Redis, os invasores podem roubar credenciais, instalar malware ou ferramentas de mineração de criptomoedas, extrair dados sensíveis, se movimentar lateralmente dentro da rede da vítima e usar informações roubadas para acessar outros serviços em nuvem.
“Isso oferece ao invasor controle total sobre o sistema hospedeiro, possibilitando exfiltração, exclusão ou criptografia de dados confidenciais, se apoderar dos recursos e facilitar movimentos laterais em ambientes na nuvem”, alertaram pesquisadores da Wiz, que reportaram a falha no evento Pwn2Own Berlim, em maio de 2025, e batizaram o ataque como RediShell.
Embora a exploração exija que o atacante tenha acesso autenticado à instância Redis, a Wiz identificou cerca de 330.000 instâncias Redis expostas na internet, sendo pelo menos 60.000 delas sem nenhum mecanismo de autenticação.
Por isso, Redis e Wiz recomendam que administradores apliquem imediatamente os patches disponibilizados na última sexta-feira, “priorizando as instâncias expostas diretamente à internet”.
Para reforçar a proteção contra ataques remotos, os administradores também podem ativar autenticação, desabilitar a execução de scripts Lua e outros comandos desnecessários, rodar o Redis com um usuário não root, habilitar logs e monitoramento, restringir o acesso somente a redes autorizadas e aplicar controles de rede via firewalls e Virtual Private Clouds (VPCs).
“RediShell (
CVE-2025-49844
) representa uma vulnerabilidade crítica que afeta todas as versões do Redis, por conta da falha no interpretador subjacente do Lua.
Com centenas de milhares de instâncias expostas mundialmente, essa falha é uma ameaça significativa para organizações de todos os setores”, enfatizou a Wiz em relatório enviado ao BleepingComputer.
“A combinação do uso amplo, configurações padrão inseguras e a gravidade da vulnerabilidade cria uma necessidade urgente de correção imediata.
Organizações devem priorizar a atualização das instâncias Redis e adotar controles de segurança adequados para evitar a exploração.”
Agentes maliciosos costumam mirar instâncias Redis por meio de botnets que infectam os servidores com malware e mineradores de criptomoedas.
Por exemplo, em junho de 2024, o botnet P2PInfect instalou malware de mineração Monero e implantou um módulo de ransomware em servidores Redis expostos e desatualizados.
Antes disso, servidores Redis também foram alvo de backdoors com o malware Redigo e sofreram infecções por HeadCrab e Migo, que desativavam mecanismos de proteção, assumiam o controle das instâncias e as usavam para minerar Monero.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...