全球8500多个Redis实例面临RediShell漏洞RCE攻击

研究人员Wiz将这个漏洞命名为"RediShell"（CVE-2025-49844）。攻击者能利用此漏洞绕过Lua沙箱限制，在受影响系统上实现主机级别的远程代码执行。

2025年10月初，网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。

这一漏洞由Wiz研究团队命名为"RediShell"（CVE-2025-49844）。恶意攻击者可以借此突破Lua沙箱的防护机制，在受影响的系统上获得主机级别的远程代码执行能力。

RediShell远程代码执行漏洞示意图（来源：CriminalIP）

该漏洞源于Redis核心架构中长期积累的缺陷，其影响可追溯至2012年左右引入的易受攻击代码路径。

攻击的广泛性和严重性立刻显现出来。截至2025年10月27日，CriminalIP分析师发现全球仍有超过8500个Redis实例面临攻击风险。

这些实例直接暴露在公共互联网上，为采用自动化扫描技术的威胁行为者创造了关键攻击窗口。在未启用认证机制的环境中（这在开发和遗留部署中出人意料地常见），攻击者无需任何凭证即可投递恶意Lua脚本，大大降低了成功利用的门槛。

受影响系统全球分布

受影响的系统在全球分布不均，某些地区存在令人担忧的集中情况。CriminalIP研究人员指出，美国拥有最多易受攻击实例（1887个），其次是法国（1324个）和德国（929个），这三个国家合计占全球暴露总量的50%以上。

这种地理集聚现象表明，这些地区的企业环境中要么存在针对特定基础设施枢纽的蓄意攻击，要么普遍采用了未打补丁的Redis实例。

沙箱逃逸与利用机制

RediShell的技术基础是通过特制的Lua脚本操纵Redis的垃圾回收行为。攻击者发送针对释放后重用条件的恶意脚本，使脚本能够突破Lua沙箱环境的限制。

一旦逃逸出沙箱，脚本就能以Redis进程的权限执行任意原生代码。典型的利用过程包括：首先通过投递恶意Lua脚本实现初始入侵，随后逃逸沙箱，安装反向shell或后门以维持持久访问，最后窃取凭证以便在更广泛的基础设施中进行横向移动。

该漏洞将看似数据缓存服务转变为完整的系统入侵入口点。运行受影响Redis实例且未实施适当认证或网络分段的企业，面临基础设施完全被接管、数据外泄以及部署加密货币挖矿程序和勒索软件等次级载荷的直接风险。

漏洞详情

缓解措施

立即打补丁仍然是绝对优先事项。企业应按照最新安全公告的建议，立即升级至已修复的Redis版本。

对于无法立即打补丁的环境，可通过AUTH或ACL配置启用认证、限制对6379端口的网络访问以及禁用EVAL和EVALSHA等Lua执行命令来提供临时保护层。通过威胁情报平台持续监控基础设施中的暴露情况和利用尝试至关重要。