A equipa de segurança por trás do Redis, um dos sistemas de armazenamento de dados mais populares do mundo, emitiu um alerta máximo. Foi descoberta uma vulnerabilidade crítica que, se explorada, pode permitir que atacantes obtenham controlo total sobre milhares de servidores vulneráveis, abrindo a porta ao roubo de dados, instalação de malware e outros ataques devastadores.
O Redis, ou Remote Dictionary Server, é uma base de dados de código aberto ultrarrápida, utilizada em cerca de 75% dos ambientes na nuvem, funcionando como base de dados, cache e gestor de mensagens. A sua velocidade torna-o uma peça fundamental na arquitetura de inúmeras aplicações e serviços online.
RediShell: uma falha com 13 anos de idade
A vulnerabilidade, identificada como CVE-2025-49844, foi apelidada de “RediShell” pelos investigadores de segurança da Wiz. A falha tem origem numa fraqueza de programação com 13 anos, conhecida como use-after-free, presente no código-fonte do Redis.
O problema reside na funcionalidade de scripting Lua, que vem ativada por defeito. Um atacante que consiga autenticar-se numa instância vulnerável do Redis pode usar um script Lua especialmente criado para escapar ao ambiente de segurança (sandbox). Uma vez “à solta”, o atacante consegue executar código remotamente no servidor alvo.
As consequências podem ser devastadoras
A exploração bem-sucedida da falha RediShell concede ao atacante controlo total sobre o sistema. A partir daí, as possibilidades são vastas e perigosas: instalar malware como ferramentas de mineração de criptomoedas ou ransomware, roubar credenciais de acesso, extrair dados sensíveis armazenados no Redis ou usar o servidor comprometido como um ponto de partida para atacar outras máquinas dentro da mesma rede.
Segundo os investigadores da Wiz, que reportaram a falha em maio de 2025 durante o evento Pwn2Own Berlin, um atacante pode "exfiltrar, apagar ou encriptar dados sensíveis, sequestrar recursos e facilitar movimentos laterais dentro de ambientes na nuvem".
Milhares de servidores em risco iminente
Embora a exploração exija que o atacante tenha acesso autenticado, o cenário é alarmante. A equipa da Wiz encontrou cerca de 330.000 instâncias de Redis expostas online. Pior ainda, pelo menos 60.000 destas não exigiam qualquer tipo de autenticação, estando completamente abertas a ataques.
Esta combinação de uma implementação generalizada, configurações de segurança frequentemente permissivas e a gravidade da falha cria uma necessidade urgente de ação imediata por parte dos administradores de sistemas.
Atualização é urgente para proteger os sistemas
Tanto o Redis como a Wiz instam os administradores a aplicar imediatamente as atualizações de segurança que já foram disponibilizadas. A prioridade máxima deve ser dada aos servidores que estão diretamente expostos à internet.
Para além da atualização, são recomendadas várias medidas adicionais para reforçar a segurança das instâncias Redis:
Ativar a autenticação em todos os servidores.
Desativar a funcionalidade de scripting Lua e outros comandos que não sejam estritamente necessários.
Executar o Redis com uma conta de utilizador sem privilégios de administrador (root).
Implementar controlos de acesso a nível de rede, usando firewalls e Redes Privadas Virtuais (VPCs) para limitar o acesso apenas a redes autorizadas.
Historicamente, os servidores Redis são um alvo frequente de botnets como a P2PInfect e malwares como o Redigo e HeadCrab, que os sequestram para minerar criptomoedas. Esta nova vulnerabilidade crítica reforça a necessidade de uma vigilância constante e da aplicação rigorosa das melhores práticas de segurança.
Nenhum comentário
Seja o primeiro!