Underc0de - La Casa de los Informáticos

Redis, una de las bases de datos en memoria más populares del mundo, ha revelado detalles de una falla de seguridad de máxima gravedad que podría permitir la ejecución remota de código (RCE) bajo ciertas condiciones. La vulnerabilidad, catalogada como CVE-2025-49844 y también conocida como RediShell, recibió una puntuación CVSS de 10.0, la calificación más alta posible, lo que indica un riesgo extremo para los sistemas afectados.

¿En qué consiste la vulnerabilidad RediShell?

De acuerdo con el aviso publicado en GitHub, el problema afecta a todas las versiones de Redis que soportan secuencias de comandos Lua. El error se origina en el manejo del recolector de basura de Lua, lo que permite un escenario de "use-after-free", es decir, el uso de memoria ya liberada, lo que abre la puerta a la ejecución de código arbitrario.

En palabras del aviso técnico:

Citar"Un usuario autenticado puede usar un script Lua especialmente diseñado para manipular el recolector de basura, desencadenar un uso después de la liberación y potencialmente conducir a la ejecución remota de código".

Esto significa que un atacante con acceso autenticado podría ejecutar comandos maliciosos dentro del entorno de Redis y, en consecuencia, comprometer el servidor subyacente.

Condiciones para la explotación

Aunque la vulnerabilidad es extremadamente grave, su explotación requiere acceso autenticado a la instancia de Redis. Por ello, el mayor riesgo se presenta en servidores mal configurados o expuestos directamente a Internet sin autenticación adecuada.

Redis recomienda encarecidamente a los administradores:

• No exponer instancias de Redis al Internet público.
• Habilitar autenticación robusta y limitar el acceso mediante firewalls o redes privadas.
• Actualizar inmediatamente a las versiones corregidas.

Versiones afectadas y actualizaciones disponibles

La vulnerabilidad afecta todas las versiones de Redis anteriores al 3 de octubre de 2025. Las actualizaciones que corrigen el problema ya están disponibles en las siguientes versiones:

• Redis 6.2.20
• Redis 7.2.11
• Redis 7.4.6
• Redis 8.0.4
• Redis 8.2.2

Estas versiones eliminan el fallo de corrupción de memoria y fortalecen los mecanismos de aislamiento en los scripts Lua.

Medidas temporales de mitigación

Para las organizaciones que no puedan aplicar el parche de inmediato, Redis sugiere implementar medidas de contención temporal:

• Restringir los comandos EVAL y EVALSHA mediante una lista de control de acceso (ACL).
• Permitir la ejecución de scripts Lua solo a identidades altamente confiables.
• Monitorizar de forma activa las operaciones inusuales dentro de la base de datos.

Estas medidas no reemplazan la actualización, pero pueden reducir significativamente la superficie de ataque mientras se despliega la corrección.

Un error latente durante más de una década

La falla fue descubierta por investigadores de la empresa de ciberseguridad en la nube Wiz, quienes informaron el hallazgo a Redis el 16 de mayo de 2025. Según Wiz, el error había permanecido oculto en el código fuente de Redis durante más de 13 años, representando una de las vulnerabilidades más antiguas y críticas jamás documentadas en la plataforma.

El informe técnico de Wiz describe el fallo como un error de corrupción de memoria tipo "use-after-free" que permite ejecutar código fuera del sandbox de Lua. En otras palabras, un atacante podría enviar un script Lua malicioso y ejecutar código arbitrario directamente en el host, eludiendo las protecciones internas del intérprete.

Impacto potencial y riesgos para la nube

El impacto de RediShell puede ser devastador. En un escenario de ataque exitoso, un cibercriminal podría:

• Robar credenciales o secretos almacenados en el servidor.
• Eliminar o cifrar datos críticos, facilitando ataques de ransomware.
• Instalar malware o herramientas de cryptojacking.
• Moverse lateralmente dentro de entornos de nube o redes corporativas.

Aunque no existen evidencias de explotación activa en la naturaleza, las instancias de Redis son objetivos frecuentes para ataques de botnets y minería ilícita de criptomonedas. De hecho, datos recientes indican que más de 330,000 instancias de Redis están expuestas públicamente en Internet, y al menos 60,000 carecen de autenticación.

Un llamado urgente a la acción

Wiz advirtió que la combinación de una vulnerabilidad crítica, implementaciones masivas y configuraciones inseguras por defecto genera un escenario de alto riesgo:

"Con cientos de miles de casos expuestos en todo el mundo, esta vulnerabilidad representa una amenaza significativa para organizaciones de todas las industrias. La necesidad de remediación inmediata es urgente".

En consecuencia, los administradores deben aplicar los parches sin demora, auditar sus configuraciones de seguridad y limitar el uso de scripts Lua solo a entornos totalmente controlados.

En fin...

La vulnerabilidad CVE-2025-49844 (RediShell) es un recordatorio contundente de los riesgos de exposición de servicios críticos como Redis. Aunque su explotación requiere autenticación, el alto número de instancias mal configuradas hace que el peligro sea tangible.

Actualizar a las versiones más recientes, reforzar la autenticación y aplicar políticas de control de acceso son pasos esenciales para proteger los entornos Redis frente a ataques que podrían comprometer toda la infraestructura de una organización.

Fuente: https://thehackernews.com/