CVE-2025-49844 (RediShell): La Vulnerabilidad Crítica de 13 Años en Redis que Compromete Entornos Cloud

SeguridadNoticias

Published:

Reading time: 4 min.

La comunidad de seguridad se enfrenta a uno de los hallazgos más significativos del año: CVE-2025-49844, bautizada como RediShell. Esta vulnerabilidad crítica, con una puntuación CVSS de 10.0, afecta al núcleo mismo de Redis, el sistema de almacenamiento de estructuras de datos en memoria ampliamente utilizado en entornos de microservicios y aplicaciones en tiempo real. Lo que la hace particularmente alarmante es su antigüedad —aproximadamente 13 años en el código— y su potencial para permitir la ejecución remota de código (RCE) en condiciones específicas.

Análisis Técnico: Un UAF en el Corazón del Intérprete Lua

El fallo, descubierto por el equipo de investigación de Wiz y reportado a Redis el pasado 16 de mayo, representa una amenaza de alta complejidad técnica pero con un impacto potencialmente devastador.

Mecanismo de Explotación:

  • Naturaleza del Fallo: Se trata de un error de Use-After-Free (UAF) o «uso después de la liberación» en la gestión de memoria del recolector de basura (garbage collector) del motor Lua integrado en Redis.

  • Vector de Ataque: Un atacante autenticado puede enviar un script Lua especialmente manipulado que, al interactuar con el garbage collector, desencadena la corrupción de memoria. Esta corrupción puede ser aprovechada para escapar del entorno restringido (sandbox) de Lua y ejecutar código nativo arbitrario en el sistema operativo host donde se ejecuta Redis.

  • Alcance del Compromiso: Una explotación exitosa otorga al atacante control total sobre el servidor, permitiendo desde el robo de credenciales y la exfiltración de datos sensibles hasta la instalación de malware persistente y el movimiento lateral dentro de entornos cloud.

Condiciones Necesarias para la Explotación:
Es crucial destacar que el atacante requiere acceso autenticado a la instancia de Redis. Sin embargo, este requisito se ve significativamente mitigado por dos factores de riesgo comunes en entornos de producción:

  1. Exposición a Internet: Al momento de la publicación, se estima que existen 330,000 instancias de Redis expuestas públicamente en internet.

  2. Falta de Autenticación: De estas, aproximadamente 60,000 instancias carecen por completo de autenticación, convirtiéndolas en objetivos triviales para la explotación de CVE-2025-49844.

Impacto en el Ecosistema Cloud y Empresarial

Redis es una pieza fundamental en la infraestructura de aplicaciones modernas, actuando como caché, base de datos de sesiones, broker de mensajería y más. La explotación de RediShell podría tener consecuencias en cascada:

  • Pérdida de Confidencialidad e Integridad: Acceso completo a datos en memoria que pueden contener información de usuario, tokens de sesión, credenciales de sistemas backend y datos transaccionales.

  • Ataques de Movimiento Lateral: Un servidor Redis comprometido suele residir en una red interna confiable, convirtiéndolo en un punto de entrada ideal para moverse lateralmente hacia otros sistemas más críticos.

  • Cryptojacking y Botnets: Dada la alta performance de los servidores que suelen alojar Redis, son objetivos primarios para la instalación de mineros de criptomonedas o su incorporación a botnets.

Guía de Remedición Urgente

Redis ha publicado versiones parcheadas que solucionan definitivamente la vulnerabilidad. La acción inmediata es imperativa.

Solución Permanente (Recomendada):
Actualizar inmediatamente a una de las versiones corregidas:

  • Redis 6.2.20

  • Redis 7.2.11

  • Redis 7.4.6

  • Redis 8.0.4

  • Redis 8.2.2

Mitigación Temporal (Si no es posible parchar de inmediato):
Para instancias que no puedan ser actualizadas en el corto plazo, se deben implementar las siguientes contramedidas:

  1. Restringir Comandos Lua mediante ACL: Utilizar las Listas de Control de Acceso (ACL) de Redis para bloquear los comandos EVAL y EVALSHA para todos los usuarios que no los requieran explícitamente para sus funciones.
    Ejemplo de configuración ACL:

    user default on >[SU_PASSWORD] ~* &* +@all -eval -evalsha

  2. Revisar y Fortificar la Autenticación: Asegurarse de que todas las instancias utilicen contraseñas robustas y que no estén expuestas a Internet sin la protección de una VPN o un firewall estricto que restrinja el acceso por IP de origen.

  3. Aplicar el Principio de Mínimo Privilegio: Ningún usuario de Redis debería tener más permisos de los estrictamente necesarios para su función.

Conclusión: Una Llamada a la Acción Inmediata

CVE-2025-49844 (RediShell) es un recordatorio severo de que las dependencias de software maduras y aparentemente estables no son inmunes a vulnerabilidades críticas de larga data. La combinación de su gravedad máxima (CVSS 10.0), la ubicuidad de Redis y la existencia de cientos de miles de instancias configuradas de forma insegura crea una tormenta perfecta que exige una respuesta ágil y masiva por parte de los equipos de operaciones y seguridad.

La ventana de acción es crítica. Los equipos deben priorizar la identificación, actualización y protección de todas sus instancias de Redis antes de que los actores de amenazas automaticen la explotación de esta vulnerabilidad, transformando un riesgo teórico en incidentes generalizados de seguridad.

Recursos Clave:

Este artículo proporciona una visión completa y técnica del problema, ofreciendo tanto el contexto necesario como las acciones prácticas para su mitigación, dirigido a un público profesional en el ámbito de la seguridad y la administración de sistemas.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

LO MAS VISTO DEL MES

BIENVENIDO A NKSISTEMAS, TU WEB DE TECNOLOGIA

Un lugar donde encontrarás mucha información de Linux, Docker, Kubernetes, AWS, , Windows,Fortigate, VMware, Citrix, Redes, CCNA, Seguridad y hacking, y todo lo relativo al mundo informático por medio de cursos, tutoriales y videos. Mi nombre es Jorge, soy Sr sysadmin/DevOps/SRE, compartiendo conocimientos desde Buenos Aires, Argentina.

© NKSISTEMAS 2010