Redis Güvenlik Açığı: CVE-2025-49844
Redis, popüler bir bellek içi veritabanı yazılımı olarak birçok uygulama ve hizmette kullanılmaktadır. Ancak, Redis‘de keşfedilen bir güvenlik açığı, kullanıcılar için ciddi tehlikeler yaratmaktadır. Bu açık, CVE-2025-49844 numarasıyla anılmakta ve “RediShell” olarak da bilinmektedir. Belirtilen bu güvenlik açığı, özellikle uzaktan kod yürütme olanağı sunması nedeniyle maksimum seviye bir tehdit olarak değerlendirilmektedir. CVSS skoru ise 10.0 olarak belirlenmiştir.
Açığın Detayları
Redis’in güvenlik açığı, Lua scripting özelliğinin kullanımıyla ilgilidir. Söz konusu açık, bir kimlik doğrulama gerçekleştirilmiş kullanıcının oluşturduğu özel tasarlanmış bir Lua betiği aracılığıyla çöp toplayıcısını manipüle etmesine olanak tanır. Bu durum, use-after-free sorununa yol açar ve potansiyel olarak uzaktan kod yürütme ile sonuçlanabilir. Redis’in bu açıkla ilgili bilgilendirmesi, tüm versiyonları kapsadığını ve bu nedenle kullanıcıların Redis örneklerini internetten izole etmeleri ve güçlü bir kimlik doğrulaması kullanmaları gerektiğini belirtmektedir.
Önerilen Çözümler
Redis’in bu güvenlik açığı sadece belirli versiyonlarda düzeltilmiştir. 3 Ekim 2025’te yayınlanan güncellemelerle birlikte, Redis 6.2.20, 7.2.11, 7.4.6, 8.0.4 ve 8.2.2 sürümleri sorun için çözüm sunmaktadır. Kullanıcıların hemen uygulayabileceği geçici bir çözüm olarak, EVAL ve EVALSHA komutlarının kullanılmasını engelleyen bir erişim kontrol listesi (ACL) ayarı yapılması önerilmektedir. Güvenilir kullanıcıların yalnızca Lua betikleri çalıştırmasına izin vererek, potansiyel risk taşıyan komutların kullanımını kısıtlamaları önemlidir.
Açığın Tarihçesi ve Etkisi
Wiz, güvenlik açığını tespit eden ve Redis’e 16 Mayıs 2025’te bildiren güvenlik firmasıdır. Redis kaynak kodunda yaklaşık 13 yıl boyunca var olan bu kullanım sonrası serbest (use-after-free) bellek bozulma hatası, saldırganların kötü niyetli bir Lua betiği göndererek, Redis Lua yorumlayıcı kumandasının dışında rastgele kod çalıştırmalarına olanak tanımaktadır. Bu senaryoda, saldırganlar kimlik bilgilerini çalabilir, kötü amaçlı yazılımlar yükleyebilir veya hassas verileri dışarı sızdırabilir.
Bu açık, kesin istatistikler olmamakla birlikte, olası bir saldırı senaryosunda, kötüye amaçlı bir kullanıcının Redis örneklerinden yararlanarak gizli verilere erişim sağlamasına ve bu verileri tehlikeye atmasına yol açabilir. Wiz firmasının belirttiği üzere, saldırganlar bu açığı kullanarak tam erişim elde ederler ve bu durum, bulut ortamlarında yansımalı hareket (lateral movement) sağlamalarına olanak tanır.
Tehditlerin Boyutu
Redis örnekleri siber suçlular için çekici hedefler sunmaktadır. Mevcut verilere göre, dünya genelinde yaklaşık 330.000 Redis örneği internet üzerinden erişilebilir durumdadır. Bu örneklerin yaklaşık 60.000’i, herhangi bir kimlik doğrulama mekanizması olmadan çalışmaktadır. Wiz’in açıkladığı üzere, bu durum, risk altındaki organizasyonlar için promosyonel bir tehdit oluşturmaktadır. Özellikle geniş çapta dağıtım, varsayılan güvenli olmayan yapılandırmalar ve açığın ciddiyeti, acil bir düzeltme ihtiyacını beraberinde getirmektedir.
Sonuç
Redis güvenlik açığı, veri güvenliği açısından çeşitli riskler barındırmaktadır. Kullanıcıların, bu açığın ciddiyetinin farkında olmaları ve önerilen önlemleri derhal uygulamaları hayati önem taşımaktadır. Aksi takdirde, açıkların suiistimal edilmesi sonucu büyük veri kayıpları ve maddi zararlarla karşı karşıya kalınabilir. Redis kullanıcılarının, bu tür güvenlik açıklarına karşı her zaman tetikte olmaları ve sistemlerini güncel tutmaları gerekmektedir.
