كشفت Wiz Research عن ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بُعد (RCE)، وهي CVE-2025-49844 والتي أطلقنا عليها اسم #ريديشيل، في مخزن بنية بيانات Redis داخل الذاكرة المستخدم على نطاق واسع. تم تعيين الثغرة الأمنية أ درجة CVSS 10.0 – أعلى درجة خطورة ممكنة (لاحظ أننا رأينا هذا مدرجًا على أنه 9.9 في بعض الأماكن، اعتمادًا على المصدر).
تستغل الثغرة الأمنية خطأ تلف الذاكرة بعد الاستخدام الحر (UAF) الموجود منذ 13 عامًا تقريبًا في التعليمات البرمجية المصدر لـ Redis. يسمح هذا الخلل لمهاجم ما بعد المصادقة بإرسال برنامج Lua النصي الضار المصمم خصيصًا (وهي ميزة مدعومة افتراضيًا في Redis) للهروب من وضع الحماية Lua وتحقيق تنفيذ تعليمات برمجية أصلية عشوائية على مضيف Redis. وهذا يمنح المهاجم حق الوصول الكامل إلى النظام المضيف، مما يمكّنه من تصفية البيانات الحساسة أو مسحها أو تشفيرها واختطاف الموارد وتسهيل الحركة الجانبية داخل البيئات السحابية.
ونظرًا لاستخدام Redis في ما يقدر بنحو 75% من البيئات السحابية، فإن التأثير المحتمل واسع النطاق. يتم حث المؤسسات بشدة على تصحيح الحالات على الفور من خلال إعطاء الأولوية لتلك التي تتعرض للإنترنت.
في 3 أكتوبر، ريديس أصدرت تحذيرا أمنيا بالإضافة إلى نسخة مصححة من Redis. نعرب عن امتناننا لفريق Redis بأكمله لتعاونهم طوال عملية الكشف. نحن نقدر بشدة شفافيتهم واستجابتهم وشراكتهم خلال هذه المشاركة.
في هذا المنشور، سنقدم لمحة عامة رفيعة المستوى عن اكتشافنا وآثاره. نظرًا لانتشار هذه الثغرة الأمنية وحساسيتها، سنؤجل بعض التفاصيل الفنية إلى إصدار مستقبلي، مع حذف معلومات الاستغلال في الوقت الحالي لإتاحة الوقت الكافي للمؤسسات المتأثرة لمعالجة الثغرة الأمنية.
يتم تشجيع المؤسسات التي تستخدم Redis بشدة على تحديث مثيلات Redis الخاصة بها إلى الإصدار الأحدث على الفور.
حصلت ثغرة RediShell (CVE-2025-49844) التي تم الكشف عنها حديثًا في Redis على درجة CVSS تبلغ 10.0 – وهو تصنيف نادرًا ما يتم رؤيته، حيث حصلت عليه حوالي 300 نقطة ضعف فقط في العام الماضي. إنها أيضًا أول ثغرة أمنية في Redis يتم تصنيفها على أنها حرجة. لا تعكس النتيجة فقط مدى خطورة تنفيذ التعليمات البرمجية عن بعد، ولكن أيضًا كيفية استخدام Redis ونشره بشكل شائع. يُستخدم Redis على نطاق واسع في البيئات السحابية للتخزين المؤقت وإدارة الجلسة ومراسلة النشر/الفرعية. على الرغم من أن Redis يتمتع بتاريخ أمني قوي، إلا أن الجمع بين هذا الخلل وممارسات النشر الشائعة يزيد بشكل كبير من تأثيره المحتمل.
اكتشف Wiz Research ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد CVE-2025-49844 تؤثر على قاعدة بيانات Redis المستخدمة على نطاق واسع. تتمثل الثغرة الأمنية في تلف ذاكرة الاستخدام بعد الاستخدام (UAF) الذي يسمح للمهاجم بإرسال برنامج Lua النصي الضار الذي يؤدي إلى تنفيذ تعليمات برمجية عشوائية خارج صندوق الحماية لمترجم Lua الخاص بـ Redis، مما يتيح له الوصول إلى المضيف.
يؤثر RediShell على شوكات Redis، بما في ذلك مشروع Valkey الشهير، والذي أصدر تصحيحًا في 3 أكتوبر.
كما أنه يؤثر أيضًا على خدمات Redis المُدارة مثل Amazon ElastiCache وGoogle Cloud Memorystore وAzure Cache for Redis.
تعتمد السرعة التي يجب أن تعالج بها هذه الثغرة الأمنية على كيفية تثبيت Redis ومستوى التعرض له.
تحليل التعرض ريديشيل
كشف تحليلنا عبر البيئات السحابية عن النطاق الواسع لهذه الثغرة الأمنية:
-
ما يقرب من 330.000 مثيل لـ Redis يتعرضون للإنترنت في وقت نشر هذه المدونة
-
حوالي 60.000 حالة لم يتم تكوين المصادقة
-
57% من البيئات السحابية قم بتثبيت Redis كصور حاوية، والعديد منها بدون تشديد أمني مناسب
تقييم المخاطر لـ CVE-2025-49844
المخاطر الحرجة – الإنترنت المكشوف + غير المصادق عليه:
حاوية Redis الرسميةبشكل افتراضي، لا يتطلب المصادقة. يوضح تحليلنا أن 57% من البيئات السحابية تقوم بتثبيت Redis كصورة. إذا لم يتم تثبيتها بعناية، فقد تفتقر هذه المثيلات إلى المصادقة تمامًا. يعد الجمع بين عدم المصادقة والتعرض للإنترنت أمرًا خطيرًا للغاية، مما يسمح لأي شخص بالاستعلام عن مثيل Redis، وعلى وجه التحديد، إرسال نصوص Lua النصية (التي يتم تمكينها افتراضيًا). يتيح ذلك للمهاجمين استغلال الثغرة الأمنية وتحقيق RCE داخل البيئة.
مخاطر عالية – التعرض للشبكة الداخلية:
يتم عرض المزيد من مثيلات Redis للشبكات الداخلية حيث قد لا يتم إعطاء الأولوية للمصادقة، مما يسمح لأي مضيف في الشبكة المحلية بالاتصال بخادم قاعدة البيانات. يمكن للمهاجم الذي لديه موطئ قدم في البيئة السحابية الوصول إلى البيانات الحساسة واستغلال الثغرة الأمنية لتشغيل تعليمات برمجية عشوائية للتحرك الجانبي إلى الشبكات الحساسة.
يوضح تسلسل الهجوم كيف يمكن للمهاجم استغلال RediShell (CVE-2025-49844) لتحقيق تسوية شاملة للنظام:
الاستغلال الأولي
الهروب من رمل
تسوية النظام
-
سرقة بيانات الاعتماد (مفاتيح .ssh ورموز IAM والشهادات)
-
تثبيت البرامج الضارة أو عمال مناجم التشفير
-
يقوم بتصفية البيانات الحساسة من Redis والمضيف
الحركة الجانبية
**نوصي جميع مستخدمي Redis بترقية مثيلاتهم على الفور، حيث تشكل هذه الثغرة الأمنية خطرًا كبيرًا.**
-
16 مايو 2025: تم إرسال تقرير الضعف الأولي إلى Redis في Pwn2Own Berlin.
-
3 أكتوبر 2025: ينشر Redis نشرة الأمان ويخصص لها CVE-2025-49844.
-
6 أكتوبر 2025: تنشر Wiz Research منشور المدونة هذا.
-
تحديث Redis على الفور: الترقية إلى أحدث إصدار مصحح. قم بإعطاء الأولوية لأي حالات مكشوفة على الإنترنت أو لم تتم مصادقتها.
-
التشديد الأمني:
-
تمكين مصادقة Redis: استخدم التوجيه requirepass.
-
تعطيل الأوامر غير الضرورية: يتضمن ذلك برمجة Lua النصية إذا لم يتم استخدامها. يمكنك تحقيق ذلك عن طريق إلغاء أذونات البرمجة النصية للمستخدم عبر قوائم Redis ACL أو عن طريق تعطيل أوامر البرمجة النصية.
-
التشغيل مع الحد الأدنى من الامتيازات: قم بتشغيل Redis باستخدام حساب مستخدم غير جذر.
-
تمكين التسجيل والمراقبة: قم بتنشيط تسجيل Redis ومراقبته لتتبع النشاط وتحديد المشكلات المحتملة.
-
تنفيذ عناصر التحكم في الوصول على مستوى الشبكة: استخدم جدران الحماية والسحابات الافتراضية الخاصة (VPCs).
-
تقييد وصول Redis: تقييد الوصول إلى الشبكات المعتمدة فقط.
يمكن لعملاء Wiz استخدام الاستعلام والاستشارات المعدة مسبقًا في مركز التهديدات Wiz لتقييم المخاطر في بيئتهم.
يحدد Wiz كلاً من مثيلات Redis الداخلية والمكشوفة علنًا في بيئتك المتأثرة بـ CVE-2025-49844، وينبهك إلى المثيلات التي تم تكوينها بشكل خاطئ للسماح بالوصول غير المصادق أو استخدام كلمات مرور ضعيفة أو افتراضية.
يمثل RediShell (CVE-2025-49844) ثغرة أمنية خطيرة تؤثر على جميع إصدارات Redis بسبب السبب الجذري لها في مترجم Lua الأساسي. ومع وجود مئات الآلاف من الحالات المكشوفة في جميع أنحاء العالم، تشكل هذه الثغرة الأمنية تهديدًا كبيرًا للمؤسسات في جميع الصناعات.
إن الجمع بين النشر على نطاق واسع والتكوينات الافتراضية غير الآمنة وخطورة الثغرة الأمنية يخلق حاجة ملحة للمعالجة الفورية. يجب على المؤسسات إعطاء الأولوية لتحديث مثيلات Redis الخاصة بها وتنفيذ ضوابط الأمان المناسبة للحماية من الاستغلال.
تسلط هذه الثغرة الأمنية الضوء أيضًا على مدى اعتماد البيئات السحابية الحالية على التقنيات مفتوحة المصدر مثل Redis. وهذا الاعتماد المشترك هو ما دفعنا، جنبًا إلى جنب مع موفري الخدمات السحابية الآخرين، إلى الإطلاق ZeroDay.Cloud، وهو جهد يحركه المجتمع لتحديد نقاط الضعف الحرجة والكشف عنها بشكل مسؤول في البرامج مفتوحة المصدر التي تعمل على تشغيل السحابة. يعد Redis، إلى جانب التقنيات الأساسية الأخرى مفتوحة المصدر، جزءًا من هذا الجهد.
ستواصل Wiz Research مراقبة مشهد التهديدات وتوفير تفاصيل فنية إضافية في المنشورات المستقبلية حتى يتوفر لدى المؤسسات الوقت الكافي لتنفيذ التدابير الأمنية اللازمة.
للأسئلة الفنية حول هذا البحث، يرجى الاتصال بـ: Research@wiz.io
—
تم إجراء هذا البحث من قبل فريق Wiz Research. نشكر فريق أمان Redis على تعاملهم الاحترافي مع هذا الكشف والتزامهم بأمن المستخدم.
