top of page
Buscar

RediShell: Vulnerabilidad crítica de ejecución remota de código (CVE-2025-49844) en Redis CVSS 10

  • Foto del escritor: Consultor Virtual CISO
    Consultor Virtual CISO
  • 13 oct
  • 5 Min. de lectura

¿Qué es RediShell?


Recientemente se ha descubierto una vulnerabilidad crítica de Remote Code Execution (RCE), identificada como CVE-2025-49844 y bautizada como #RediShell, en Redis, el popular almacén en memoria de estructuras de datos. A esta vulnerabilidad se le ha asignado una puntuación CVSS de 10.0, la severidad máxima (aunque en algunas fuentes aparece listada con 9.9, según el origen).

La vulnerabilidad explota un fallo de corrupción de memoria tipo Use-After-Free (UAF) que existe desde hace aproximadamente 13 años en el código fuente de Redis. Esta falla permite que un atacante post-auth envíe un script Lua malicioso especialmente diseñado (la ejecución de Lua está activada por defecto en Redis) para escapar del sandbox de Lua y lograr ejecución arbitraria de código nativo en el host que ejecuta Redis. Eso le otorga al atacante control total sobre el sistema anfitrión, con la capacidad de exfiltrar, borrar o cifrar datos sensibles, secuestrar recursos y facilitar movimientos laterales en entornos cloud.


RediShell CVE-2025-49844
RediShell CVE-2025-49844

Dado que se estima que Redis se usa en aproximadamente el 75% de los entornos cloud, el impacto potencial es muy amplio. Se insta encarecidamente a las organizaciones a parchear sus instancias de inmediato, priorizando aquellas que estén expuestas a Internet.

El 3 de octubre, Redis publicó un aviso de seguridad junto con una versión parcheada. Agradecemos al equipo de Redis por su colaboración durante el proceso de divulgación: su transparencia, rapidez y cooperación han sido muy valiosas.

En esta entrada ofrecemos una visión general de alto nivel sobre el hallazgo y sus implicaciones. Debido a la prevalencia y sensibilidad de esta vulnerabilidad, dejaremos algunos detalles técnicos para una entrega posterior y omitiremos información de explotación por ahora, para dar tiempo a que las organizaciones afectadas apliquen mitigaciones.


Recomendación inmediata: las organizaciones que usan Redis deben actualizar sus instancias a la versión parcheada cuanto antes.


Vulnerabilidad + Ubicuidad: el multiplicador de riesgo de Redis

La vulnerabilidad recién divulgada RediShell (CVE-2025-49844) ha recibido una puntuación CVSS de 10.0, una calificación poco común (solo unas pocas centenas de vulnerabilidades reciben ese nivel cada año). Es también la primera vulnerabilidad en Redis calificada como critical. Esa puntuación refleja no solo la gravedad técnica de la RCE, sino también cómo se usa y despliega Redis en la práctica. Redis se emplea masivamente en la nube para caching, gestión de sesiones y pub/sub. Aunque Redis tiene históricamente buen comportamiento en seguridad, la combinación de este fallo y las prácticas comunes de despliegue aumenta significativamente su impacto potencial.


Alcance de CVE-2025-49844

Wiz Research descubrió una vulnerabilidad de ejecución remota de código, CVE-2025-49844, que afecta a Redis. Se trata de un Use-After-Free en la gestión de memoria que permite a un atacante enviar un script Lua malicioso que, al escapar del intérprete Lua, ejecuta código arbitrario fuera del sandbox y gana acceso al host.

La urgencia para remediar depende de cómo fue instalado Redis y del nivel de exposición de la instancia.


Análisis de exposición de RediShell


ree

Nuestro análisis en entornos cloud muestra el amplio alcance de esta vulnerabilidad:

  • Aproximadamente 250.000 instancias de Redis están expuestas a Internet en el momento de esta publicación.

  • Cerca de 60.000 instancias no tienen configurada autenticación.

  • El 57% de los entornos cloud instala Redis como imágenes de contenedor, muchas veces sin un hardening adecuado.


Valoración de riesgo para CVE-2025-49844

ree

Riesgo crítico — Exposición pública + sin autenticación:

El contenedor oficial de Redis, por defecto, no requiere autenticación. Nuestro análisis muestra que el 57% de los entornos cloud instala Redis como imagen; si no se configura correctamente, estas instancias pueden carecer totalmente de autenticación. La combinación de sin autenticación y exposición a Internet es extremadamente peligrosa: permite que cualquier actor consulte la instancia Redis y, específicamente, envíe scripts Lua (habilitados por defecto). Esto facilita que un atacante explote la vulnerabilidad y logre RCE en el entorno.


Alto riesgo — Exposición en redes internas:

Muchas instancias de Redis están expuestas dentro de redes internas donde no se prioriza la autenticación, lo que permite a cualquier host de la red local conectarse al servidor. Un atacante con un punto de apoyo en el entorno cloud podría explotar la vulnerabilidad para ejecutar código arbitrario y moverse lateralmente hacia sistemas sensibles.


Flujo de ataque e impacto de RediShell

La secuencia de ataque muestra cómo un atacante puede explotar RediShell (CVE-2025-49844) para comprometer un sistema por completo:

  1. Explotación inicial: El atacante envía un script Lua malicioso que aprovecha el Use-After-Free.

  2. Escape del sandbox: El script rompe el aislamiento del intérprete Lua y consigue ejecución arbitraria de código.

  3. Persistencia: Establece un reverse shell u otro mecanismo de acceso persistente.

  4. Compromiso del sistema:Roba credenciales (.ssh, tokens IAM, certificados), instala malware o mineros, y exfiltra datos de Redis y del host.

  5. Movimiento lateral:Usa credenciales robadas (por ejemplo IAM tokens) para acceder a otros servicios cloud, escalar privilegios y comprometer sistemas adicionales.


Resultado final: ejecución remota de código en el host.

Recomendación: instamos a todos los usuarios de Redis a actualizar sus instancias de forma inmediata, ya que esta vulnerabilidad representa un riesgo significativo.


Cronología de divulgación de RediShell

  • 16 de mayo de 2025: Informe inicial enviado a Redis durante Pwn2Own Berlin.

  • 3 de octubre de 2025: Redis publica el boletín de seguridad y asigna CVE-2025-49844.

  • 6 de octubre de 2025: Wiz Research publica el análisis público.


Acciones recomendadas para CVE-2025-49844

Actualizar Redis inmediatamente: Actualiza a la versión parcheada cuanto antes. Prioriza instancias expuestas a Internet o que no tengan autenticación.

Endurecimiento de seguridad:

  • Habilitar autenticación: configurar requirepass o usar usuarios/ACLs.

  • Deshabilitar comandos innecesarios: si no usas scripting, revoca permisos de scripting vía ACLs o renombra/desactiva los comandos relacionados con Lua.

  • Ejecutar con mínimos privilegios: no ejecutar Redis como root.

  • Habilitar logging y monitoreo: activa registros y monitorización para detectar actividad sospechosa.

  • Controles de red: utilizar firewalls y VPCs para limitar el acceso.

  • Restringir el acceso: permitir solo redes autorizadas.


Cómo vCISO puede ayudar con CVE-2025-49844

Los clientes de vCISO pueden consultar a través de su servicio RiskExpoScan.


RiskExpoScan es una plataforma propia de análisis de exposición cibernética desarrollada para identificar, correlacionar y visualizar los principales vectores de riesgo externo de una organización.


Su enfoque combina herramientas de inteligencia de amenazas abiertas (OSINT), escaneo activo y procesamiento automatizado de datos, permitiendo entregar resultados accionables, visuales y priorizados.


Simulando la primera fase de un ataque

Las fases de un ataque comienzan con el reconocimiento, escaneo y enumeración. Eso es lo que realiza la plataforma de RiskExpoScan sin generar explotación, persistencia o borrado de datos.

Simulamos ser un atacante que busca recopilar datos antes de intentos de vulneración.


Funcionalidades clave:

  • Descubrimiento de servicios expuestos

  • Identificación de tecnologías utilizadas

  • Correlación de vulnerabilidades Conocidas (CVE)

  • Análisis de correos expuestos y filtraciones conocidas

  • Dashboard visual con resumen de criticidad


ree

Conclusión:

RediShell (CVE-2025-49844) es una vulnerabilidad crítica que afecta a la mayor parte de las versiones de Redis debido a su raíz en el intérprete Lua subyacente. Con cientos de miles de instancias expuestas en todo el mundo, representa una amenaza significativa para organizaciones de todos los sectores.


La combinación de despliegue masivo, configuraciones por defecto inseguras y la gravedad técnica de la vulnerabilidad exige una remediación inmediata. Prioriza la actualización de instancias Redis y aplica controles de seguridad adecuados.


Adicionalmente, hasta el cierre de esta nota, ya existe code exploit poc disponible, para detectar la vulnerabilidad vía scanner y explotarla.


Equipo

vCISO





Comentarios

  • LinkedIn
  • YouTube

©2022 por vCISO. 

bottom of page