Redis-Instanzen bedroht: CVE-2025-49844 „RediShell“ – kritischer Exploit für Remote-Code-Execution.
Sysdig warnt vor einer neu entdeckten, kritischen Sicherheitslücke in Redis, dem weit verbreiteten Open-Source-In-Memory-Datenspeicher. Die Schwachstelle CVE-2025-49844, auch bekannt als „RediShell“, ermöglicht die Ausführung von Remote-Code (RCE) und wurde mit der höchsten CVSS-Risikobewertung von 10,0 eingestuft.
13 Jahre alte Schwachstelle ermöglicht vollständige Systemübernahme
Die Lücke besteht seit rund 13 Jahren im Redis-Quellcode und betrifft alle Versionen mit aktivierter Lua-Scripting-Unterstützung. Angreifer können mithilfe speziell präparierter Skripte den Garbage Collector manipulieren, eine Use-After-Free-Bedingung auslösen und so Code außerhalb der Sandbox des Redis-Interpreters ausführen. Im schlimmsten Fall erlangen sie so vollen Zugriff auf das Host-System, können Zugangsdaten stehlen, Malware platzieren oder sensible Daten exfiltrieren.
Da Redis-Instanzen standardmäßig ohne Authentifizierung ausgeliefert werden, sind viele Umgebungen besonders gefährdet. Nach der Entdeckung durch Sicherheitsforscher von Wiz im Rahmen des Pwn2Own-Wettbewerbs in Berlin im Mai 2025 hat Redis am 3. Oktober 2025 Patches veröffentlicht.
Betroffene Versionen
Betroffen sind alle Redis-Versionen mit Lua-Unterstützung, sowohl Open-Source- als auch Enterprise-Versionen. Geschützte Versionen sind unter anderem:
- Redis OSS/CE/Stack ab Version 8.2.2, 8.0.4, 7.4.6, 7.2.11 oder 6.2.20.
- Redis Enterprise ab Version 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138 und 6.4.2-131.
- Redis-Cloud-Kunden wurden bereits automatisch gepatcht und müssen keine weiteren Maßnahmen ergreifen.
So arbeitet „RediShell“
Die Malware nutzt eine unzureichende Validierung während der Speicherbereinigung im Lua-Subsystem aus. Mithilfe präparierter Skripte wird Speicher freigegeben, der noch aktiv referenziert ist. Dadurch können Angreifer aus der Sandbox ausbrechen und beliebigen Code mit Host-Rechten ausführen. Nach einer erfolgreichen Kompromittierung kann der Angreifer unter anderem:
- Zugangsdaten entwenden und sich beispielsweise dadurch Zugang zu Cloud-Diensten verschaffen
- Schadsoftware im System verbreiten
- laterale Bewegungen im Netzwerk durchführen
Wie erkennt man RediShell?
Mit Sysdig Secure können Benutzer die „RediShell-Erkennung“ im Threat Intelligence Feed nutzen, um ihre Umgebungen automatisch auf anfällige Versionen von Redis zu überprüfen. Benutzer können sich auch auf das Schwachstellenmanagement von Sysdig verlassen, um CVE-2025-49844 zu verfolgen, und auf Sysdig Sage™ für eine geführte Behebung.
Empfohlene Sofortmaßnahmen
Um sich zu schützen, empfiehlt Sysdig folgende Schritt umgehend einzuleiten:
- Administratoren sollten sofort ein Upgrade durchführen oder vorübergehende Abhilfemaßnahmen ergreifen, indem sie die Befehlsfamilien EVAL und EVALSHA mithilfe von Zugriffskontrolllisten (ACLs) einschränken. Exponierte Instanzen sollte man vom Internet trennen und mit dem Internet verbundene unverzüglich patchen.
- Lua-Scripting deaktivieren, falls es nicht für die Funktionalität der Applikation benötigt wird.
- Netzwerksegmentierung und Firewall-Regeln implementieren, um laterale Bewegungen zu verhindern.
Redis-Dienste ausschließlich mit Nicht-Root-Benutzern betreiben.
Fazit
„RediShell“ macht deutlich, wie gefährlich übersehene Altlasten im Open-Source-Ökosystem sein können. Selbst eine 13 Jahre alte Codebasis kann zu einem kritischen Einfallstor werden, wenn grundlegende Sicherheitspraktiken wie Authentifizierung, Zugriffskontrolle und Laufzeiterkennung fehlen.
