Falha crítica de 13 anos no Redis expõe servidores a RCE com CVSS 10.0

A comunidade de cibersegurança está em alerta após a Redis divulgar detalhes de uma vulnerabilidade de gravidade máxima em seu popular software de banco de dados em memória. A falha, que permaneceu dormente no código-fonte por cerca de 13 anos, pode permitir a Execução Remota de Código (RCE) em instâncias sob certas condições, representando um risco significativo para organizações em todo o mundo.

Identificada como CVE-2025-49844 (apelidada de RediShell), a vulnerabilidade recebeu a pontuação máxima de 10.0 no CVSS (Common Vulnerability Scoring System). A falha de corrupção de memória do tipo use-after-free (UAF) reside especificamente no código de script Lua do Redis. Segundo o alerta oficial, "Um usuário autenticado pode usar um script Lua especialmente criado para manipular o coletor de lixo, acionar um use after free e potencialmente levar à execução remota de código." O problema afeta todas as versões do Redis que suportam script Lua.

Embora a gravidade seja máxima, a exploração bem-sucedida exige que o hacker obtenha acesso autenticado prévio a uma instância do Redis. Essa é uma salvaguarda importante, reforçando a crucial necessidade de que administradores jamais deixem instâncias do Redis expostas à Internet e, principalmente, as protejam com autenticação forte.

A vulnerabilidade, descoberta e reportada pela empresa de segurança em nuvem Wiz em 16 de maio de 2025, permite, em essência, que um invasor envie um script Lua malicioso capaz de escapar da sandbox do interpretador Lua do Redis. Ao fazer isso, o hacker ganha a capacidade de executar código nativo arbitrário no host subjacente.

Em um cenário de ataque, esse acesso total ao sistema host permite aos invasores realizar ações devastadoras: desde roubo de credenciais e exfiltração de dados confidenciais, até a instalação de malware, sequestro de recursos (cryptojacking) ou movimentação lateral dentro de ambientes de nuvem.

A Redis agiu rapidamente para corrigir a falha nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. A aplicação imediata desses patches é a ação mais recomendada.

Enquanto a correção definitiva é implementada, a comunidade de segurança sugere soluções temporárias críticas:

1. Restringir Scripts Lua: Impedir que usuários não confiáveis executem scripts Lua, definindo uma Lista de Controle de Acesso (ACL) para restringir os comandos EVAL e EVALSHA.

2. Autenticação e Exposição: Garantir que apenas identidades confiáveis possam executar comandos potencialmente arriscados e, crucialmente, revisar todas as configurações para evitar a exposição desnecessária do Redis à Internet.

O alerta é amplificado pelo fato de que, atualmente, cerca de 330.000 instâncias do Redis estão expostas na internet, com aproximadamente 60.000 delas sem qualquer forma de autenticação, tornando-se alvos fáceis e lucrativos para grupos hackers interessados em cryptojacking ou formação de botnets. Embora não haja evidências de exploração em ambiente real até o momento, a combinação de ampla implantação e configurações padrão inseguras exige uma ação imediata e urgente de correção.

Via - THN