2025年10月初,网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。
该漏洞被Wiz研究人员命名为"RediShell"(CVE-2025-49844),攻击者可利用此漏洞突破Lua沙箱限制,在受影响系统上实现主机级别的远程代码执行。
RediShell RCE漏洞(来源:CriminalIP)
该漏洞源于Redis核心架构中长期积累的缺陷,影响可追溯至2012年左右引入的易受攻击代码路径。
攻击面立即显现出广泛性和严重性。截至2025年10月27日,CriminalIP分析师发现全球仍有超过8500个Redis实例易受攻击。
这些实例直接暴露在公共互联网上,为采用自动化扫描技术的威胁行为者创造了关键攻击窗口。在未启用认证机制的环境中(这在开发和遗留部署中出人意料地常见),攻击者无需任何凭证即可投递恶意Lua脚本,大大降低了成功利用的门槛。
受影响系统全球分布
受影响的系统在全球分布不均,某些地区存在令人担忧的集中情况。CriminalIP研究人员指出,美国拥有最多易受攻击实例(1887个),其次是法国(1324个)和德国(929个),这三个国家合计占全球暴露总量的50%以上。
这种地理聚集现象表明,这些地区的企业环境中要么存在针对特定基础设施枢纽的蓄意攻击,要么普遍采用了未打补丁的Redis实例。
沙箱逃逸与利用机制
RediShell的技术基础是通过特制的Lua脚本操纵Redis的垃圾回收行为。攻击者发送针对释放后重用条件的恶意脚本,使脚本能够突破Lua沙箱环境的限制。
一旦逃逸出沙箱,脚本就能以Redis进程的权限执行任意原生代码。典型的利用过程包括:首先通过投递恶意Lua脚本实现初始入侵,随后逃逸沙箱,安装反向shell或后门以维持持久访问,最后窃取凭证以便在更广泛的基础设施中进行横向移动。
该漏洞将看似数据缓存服务转变为完整的系统入侵入口点。运行受影响Redis实例且未实施适当认证或网络分段的企业,面临基础设施完全被接管、数据外泄以及部署加密货币挖矿程序和勒索软件等次级载荷的直接风险。
漏洞详情
属性 | 详情 |
|---|---|
CVE编号 | CVE-2025-49844 |
漏洞类型 | 释放后重用内存破坏 |
受影响组件 | Redis Lua脚本引擎 |
严重程度 | 严重 |
CVSS评分 | 9.8(基于网络,无需认证) |
受影响版本 | Redis 8.2.1及更早版本 |
攻击向量 | 网络,无需认证 |
公开披露时间 | 2025年10月初 |
暴露实例 | 全球8500+ |
利用方法 | 投递恶意Lua脚本 |
影响 | 主机级别远程代码执行 |
缓解措施
立即打补丁仍是绝对优先事项。企业应按照官方安全公告的建议,立即升级至已修复的Redis版本。
对于无法立即打补丁的环境,可通过AUTH或ACL配置启用认证、限制对6379端口的网络访问以及禁用EVAL和EVALSHA等Lua执行命令来提供临时保护层。通过威胁情报平台持续监控对于检测基础设施中的暴露情况和利用尝试至关重要。