Redis

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

Source: Horizon3.ai — Contexte: publication d’un résumé exécutif et technique sur CVE-2025-49844 affectant Redis. • La faille CVE-2025-49844 est une vulnérabilité critique d’exécution de code à distance (RCE) dans le moteur de scripts Lua de Redis, notée CVSS 10.0. Elle permet à des utilisateurs authentifiés d’exécuter du code arbitraire via des scripts Lua spécialement conçus manipulant le collecteur de déchets (garbage collector). Bien que l’exploitation nécessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par défaut, ce qui élargit considérablement la surface d’attaque. Redis a divulgué la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a été observée, mais les organisations sont incitées à mettre à niveau immédiatement. ...

Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025. 🚨 Principaux faits: Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte. Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source. Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification. Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud. Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique. Exposition et risque: ...

Selon runZero, plusieurs vulnérabilités liées à la fonctionnalité de scripting Lua de Redis ont été divulguées, avec des impacts allant de l’exécution de code à distance à la panne de service, et des mises à jour sont disponibles. Quatre avis GitHub Security Advisory sont cités: GHSA-4789-qfc9-5f9q, GHSA-m8fj-85cg-7vhp, GHSA-qrv7-wcrx-q5jp, GHSA-4c68-q8q8-3g4f. Les failles incluent: CVE-2025-49844 (CVSS 10.0): un adversaire distant à faible privilège peut, via un script Lua spécialement conçu manipulant le garbage collector, déclencher un use-after-free menant à une exécution de code à distance (RCE). CVE-2025-46817 (CVSS 7.0): un adversaire local à faible privilège peut causer un integer overflow menant potentiellement à de la RCE. CVE-2025-46818 (CVSS 6.0): un adversaire local peut manipuler différents objets Lua et exécuter du code arbitraire dans le contexte d’un autre utilisateur. CVE-2025-46819 (CVSS 6.3): un adversaire local peut lire des données out-of-bounds ou provoquer un DoS en crashant le serveur. Impact: la compromission permettrait à un adversaire d’exécuter du code arbitraire sur l’hôte vulnérable, pouvant conduire à une compromission complète du système. 🚨 ...

Selon une actualité publiée sur le site GBHackers le 24 avril 2025, une vulnérabilité de type déni de service (DoS) de haute gravité a été découverte dans Redis. Identifiée sous le code CVE-2025-21605, cette faille permet à des attaquants non authentifiés de faire planter des serveurs ou d’épuiser la mémoire système en exploitant des tampons de sortie mal limités. La vulnérabilité affecte les versions de Redis 2.6 et ultérieures. Des correctifs sont désormais disponibles dans les mises à jour 6.2.18, 7.2.8, et 7.4.3. La vulnérabilité provient de la configuration par défaut de Redis, qui n’impose aucune limite. ...