Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025.

🚨 Principaux faits:

  • Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte.
  • Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source.
  • Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification.
  • Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud.
  • Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique.

Exposition et risque:

  • Risque critique – Exposé Internet + non authentifié: L’image officielle Redis peut ne pas exiger d’authentification par défaut; 57% des environnements cloud installent Redis comme image. Sans configuration soignée, n’importe qui peut envoyer des scripts Lua et exploiter la faille.
  • Risque élevé – Exposition réseau interne: Dans de nombreux déploiements internes, l’authentification peut être absente/priorisée faiblement, permettant à un attaquant déjà présent dans l’environnement de voler des données et de faire des mouvements latéraux via l’exécution de code.

Flux d’attaque et effets:

  • Étapes: Initial Exploitation → Sandbox Escape → System Compromise → Lateral Movement.
  • Résultat: RCE sur l’hôte.

Calendrier de divulgation:

  • 16 mai 2025: rapport initial envoyé à Redis (Pwn2Own Berlin).
  • 3 octobre 2025: bulletin de sécurité Redis et version corrigée publiés.
  • 6 octobre 2025: publication du billet par Wiz Research.

Recommandations (selon l’article):

  • Mettre à jour Redis immédiatement (prioriser les instances exposées Internet ou non authentifiées).
  • Durcir la sécurité.
  • Activer l’authentification Redis (directive requirepass).
  • Désactiver les commandes non nécessaires (dont la scripting si non utilisée, via ACL ou désactivation des commandes Lua).
  • Exécuter Redis avec des privilèges minimaux (utilisateur non-root).
  • Activer la journalisation et la supervision.
  • Contrôles d’accès réseau (firewalls, VPCs).
  • Restreindre l’accès à Redis aux réseaux autorisés uniquement.

IOCs et TTPs:

  • IOCs: non communiqués dans la publication.
  • TTPs: envoi de scripts Lua malveillants, évasion de sandbox, exécution de code natif sur l’hôte, exfiltration/effacement/chiffrement de données, hijacking de ressources, mouvements latéraux.

Conclusion: Il s’agit d’une publication de recherche visant à divulguer une vulnérabilité critique, qualifier le risque à grande échelle et guider les organisations vers la mise à jour et des contrôles de sécurité adaptés.

🧠 TTPs et IOCs détectés

TTP

envoi de scripts Lua malveillants, évasion de sandbox, exécution de code natif sur l’hôte, exfiltration/effacement/chiffrement de données, hijacking de ressources, mouvements latéraux

IOC

non communiqués dans la publication

🔗 Source originale : https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844