游乐游手机版
首页/科技数码/文章详情

全球8500多个Redis实例面临RediShell漏洞RCE攻击

时间:2025-12-02 16:01
该漏洞被Wiz研究人员命名为 "RediShell "(CVE-2025-49844),攻击者可利用此漏洞突破Lua沙箱限制,在受影响系统上实现主机级别的远程代码执行。 2025年10月初,网络安全领域

研究人员Wiz将这个漏洞命名为"RediShell"(CVE-2025-49844)。攻击者能利用此漏洞绕过Lua沙箱限制,在受影响系统上实现主机级别的远程代码执行。

2025年10月初,网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。

这一漏洞由Wiz研究团队命名为"RediShell"(CVE-2025-49844)。恶意攻击者可以借此突破Lua沙箱的防护机制,在受影响的系统上获得主机级别的远程代码执行能力。

\

RediShell远程代码执行漏洞示意图(来源:CriminalIP)

该漏洞源于Redis核心架构中长期积累的缺陷,其影响可追溯至2012年左右引入的易受攻击代码路径。

攻击的广泛性和严重性立刻显现出来。截至2025年10月27日,CriminalIP分析师发现全球仍有超过8500个Redis实例面临攻击风险。

这些实例直接暴露在公共互联网上,为采用自动化扫描技术的威胁行为者创造了关键攻击窗口。在未启用认证机制的环境中(这在开发和遗留部署中出人意料地常见),攻击者无需任何凭证即可投递恶意Lua脚本,大大降低了成功利用的门槛。

受影响系统全球分布

受影响的系统在全球分布不均,某些地区存在令人担忧的集中情况。CriminalIP研究人员指出,美国拥有最多易受攻击实例(1887个),其次是法国(1324个)和德国(929个),这三个国家合计占全球暴露总量的50%以上。

这种地理集聚现象表明,这些地区的企业环境中要么存在针对特定基础设施枢纽的蓄意攻击,要么普遍采用了未打补丁的Redis实例。

沙箱逃逸与利用机制

RediShell的技术基础是通过特制的Lua脚本操纵Redis的垃圾回收行为。攻击者发送针对释放后重用条件的恶意脚本,使脚本能够突破Lua沙箱环境的限制。

一旦逃逸出沙箱,脚本就能以Redis进程的权限执行任意原生代码。典型的利用过程包括:首先通过投递恶意Lua脚本实现初始入侵,随后逃逸沙箱,安装反向shell或后门以维持持久访问,最后窃取凭证以便在更广泛的基础设施中进行横向移动。

该漏洞将看似数据缓存服务转变为完整的系统入侵入口点。运行受影响Redis实例且未实施适当认证或网络分段的企业,面临基础设施完全被接管、数据外泄以及部署加密货币挖矿程序和勒索软件等次级载荷的直接风险。

漏洞详情

缓解措施

立即打补丁仍然是绝对优先事项。企业应按照最新安全公告的建议,立即升级至已修复的Redis版本。

对于无法立即打补丁的环境,可通过AUTH或ACL配置启用认证、限制对6379端口的网络访问以及禁用EVAL和EVALSHA等Lua执行命令来提供临时保护层。通过威胁情报平台持续监控基础设施中的暴露情况和利用尝试至关重要。

来源:https://www.51cto.com/article/828553.html
上一篇特斯拉自动驾驶团队保密机制曝光 下一篇江淮汽车前三季营收下滑,净利润转亏为盈
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5