2025年10月初，網絡安全領域面臨一項重大威脅——Redis的Lua腳本引擎中存在嚴重的釋放后重用漏洞RediShell被公開披露。

該漏洞被Wiz研究人員命名為"RediShell"（CVE-2025-49844），攻擊者可利用此漏洞突破Lua沙箱限制，在受影響系統(tǒng)上實現(xiàn)主機級別的遠程代碼執(zhí)行。

RediShell RCE漏洞（來源：CriminalIP）

該漏洞源于Redis核心架構中長期積累的缺陷，影響可追溯至2012年左右引入的易受攻擊代碼路徑。

攻擊面立即顯現(xiàn)出廣泛性和嚴重性。截至2025年10月27日，CriminalIP分析師發(fā)現(xiàn)全球仍有超過8500個Redis實例易受攻擊。

這些實例直接暴露在公共互聯(lián)網上，為采用自動化掃描技術的威脅行為者創(chuàng)造了關鍵攻擊窗口。在未啟用認證機制的環(huán)境中（這在開發(fā)和遺留部署中出人意料地常見），攻擊者無需任何憑證即可投遞惡意Lua腳本，大大降低了成功利用的門檻。

受影響系統(tǒng)全球分布

受影響的系統(tǒng)在全球分布不均，某些地區(qū)存在令人擔憂的集中情況。CriminalIP研究人員指出，美國擁有最多易受攻擊實例（1887個），其次是法國（1324個）和德國（929個），這三個國家合計占全球暴露總量的50%以上。

這種地理聚集現(xiàn)象表明，這些地區(qū)的企業(yè)環(huán)境中要么存在針對特定基礎設施樞紐的蓄意攻擊，要么普遍采用了未打補丁的Redis實例。

沙箱逃逸與利用機制

RediShell的技術基礎是通過特制的Lua腳本操縱Redis的垃圾回收行為。攻擊者發(fā)送針對釋放后重用條件的惡意腳本，使腳本能夠突破Lua沙箱環(huán)境的限制。

一旦逃逸出沙箱，腳本就能以Redis進程的權限執(zhí)行任意原生代碼。典型的利用過程包括：首先通過投遞惡意Lua腳本實現(xiàn)初始入侵，隨后逃逸沙箱，安裝反向shell或后門以維持持久訪問，最后竊取憑證以便在更廣泛的基礎設施中進行橫向移動。

該漏洞將看似數據緩存服務轉變?yōu)橥暾南到y(tǒng)入侵入口點。運行受影響Redis實例且未實施適當認證或網絡分段的企業(yè)，面臨基礎設施完全被接管、數據外泄以及部署加密貨幣挖礦程序和勒索軟件等次級載荷的直接風險。

漏洞詳情

緩解措施

立即打補丁仍是絕對優(yōu)先事項。企業(yè)應按照官方安全公告的建議，立即升級至已修復的Redis版本。

對于無法立即打補丁的環(huán)境，可通過AUTH或ACL配置啟用認證、限制對6379端口的網絡訪問以及禁用EVAL和EVALSHA等Lua執(zhí)行命令來提供臨時保護層。通過威脅情報平臺持續(xù)監(jiān)控對于檢測基礎設施中的暴露情況和利用嘗試至關重要。