Lỗ hổng được theo dõi với mã định danh CVE-2025-49844, xuất phát từ điểm yếu use-after-free đã tồn tại 13 năm trong mã nguồn Redis, có thể bị khai thác bởi các tác nhân đe dọa đã được xác thực bằng cách sử dụng một tập lệnh Lua được thiết kế đặc biệt (một tính năng được bật theo mặc định). Việc khai thác thành công cho phép chúng thoát khỏi sandbox Lua, kích hoạt use-after-free, thiết lập reverse shell để truy cập liên tục và thực thi mã tùy ý trên các máy chủ Redis được nhắm mục tiêu.

Sau khi xâm nhập máy chủ Redis, kẻ tấn công có thể đánh cắp thông tin đăng nhập, triển khai phần mềm độc hại hoặc công cụ khai thác tiền điện tử, trích xuất dữ liệu nhạy cảm từ Redis, di chuyển ngang hàng sang các hệ thống khác trong mạng của nạn nhân hoặc sử dụng thông tin bị đánh cắp để truy cập vào các dịch vụ đám mây.

Các nhà nghiên cứu đến từ công ty bảo mật đám mây Wiz (Mỹ), những người đã báo cáo vấn đề bảo mật tại sự kiện Pwn2Own Berlin vào tháng 5/2025, cho biết: “Điều này cấp cho kẻ tấn công quyền truy cập đầy đủ vào hệ thống máy chủ, từ đó chúng có thể đánh cắp, xóa hoặc mã hóa dữ liệu nhạy cảm, chiếm đoạt tài nguyên và tạo điều kiện cho việc di chuyển ngang trong môi trường đám mây”.

Trong khi việc khai thác thành công đòi hỏi kẻ tấn công trước tiên phải có quyền truy cập được xác thực vào phiên bản Redis, Wiz đã phát hiện khoảng 330.000 phiên bản Redis bị rò rỉ trực tuyến, trong đó ít nhất 60.000 phiên bản không yêu cầu xác thực. Redis và Wiz khuyến cáo, quản trị viên hệ thống cần vá lỗi ngay lập tức cho các phiên bản của họ bằng cách áp dụng các bản cập nhật bảo mật được phát hành vào ngày 03/10, “ưu tiên những phiên bản có kết nối Internet”.

Để bảo vệ Redis trước mối nguy cơ tấn công từ xa, quản trị viên cũng có thể bật xác thực, tắt tập lệnh Lua và các lệnh không cần thiết khác, khởi chạy Redis bằng tài khoản người dùng không phải root, bật ghi log và giám sát Redis, giới hạn quyền truy cập chỉ vào các mạng được ủy quyền và triển khai kiểm soát truy cập cấp độ mạng bằng tường lửa và đám mây riêng ảo (VPC).

Các chuyên gia của Wiz cũng cảnh báo rằng: “RediShell (CVE-2025-49844) là một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tất cả các phiên bản Redis, do nguyên nhân gốc rễ nằm trong trình thông dịch Lua cơ bản. Với hàng trăm nghìn trường hợp bị rò rỉ trên toàn thế giới, lỗ hổng này gây ra mối đe dọa đáng kể cho các tổ chức trên mọi lĩnh vực”.

Sự kết hợp giữa việc triển khai rộng rãi, cấu hình mặc định không an toàn và mức độ nghiêm trọng của lỗ hổng bảo mật tạo ra nhu cầu cấp thiết phải khắc phục ngay lập tức. Các tổ chức phải ưu tiên cập nhật phiên bản Redis của mình và triển khai các biện pháp kiểm soát bảo mật phù hợp để bảo vệ chống lại việc khai thác.

Các tác nhân đe dọa thường nhắm mục tiêu vào các máy chủ Redis thông qua botnet, lây nhiễm phần mềm độc hại và mã độc đào tiền điện tử. Ví dụ, vào tháng 6/2024, một botnet peer-to-peer có tên P2Pinfect, đã cài đặt mã độc đào tiền điện tử Monero và triển khai một mô-đun ransomware trong các cuộc tấn công, nhắm vào các máy chủ Redis chưa được vá và tiếp xúc với Internet.

Trước đây, máy chủ Redis cũng bị cài phần mềm độc hại Redigo và bị lây nhiễm trong các cuộc tấn công bằng mã độc HeadCrab và Migo, vô hiệu hóa các tính năng bảo vệ trên các phiên bản bị xâm phạm và chiếm quyền điều khiển chúng để khai thác tiền điện tử Monero.