Redis Güvenlik Açığı ve Riskler
Son günlerde Redis güvenlik ekibi, CVE-2025-49844 adı altında sıralanan ve uzak kod çalıştırma imkanı tanıyan yüksek şiddet dereceli bir açığın yamanmasını duyurdu. Redis, açık kaynaklı bir veri yapı mağazasıdır ve dünya genelinde bulut ortamlarının yaklaşık %75’inde kullanılmaktadır. Veri tabanı, önbellek ve mesaj aracı gibi işlevlere sahip olan Redis, verileri RAM’de tutarak ultra hızlı erişim sağlar.
Redis Güvenlik Açığı: Kullanım Sonrası Serbest Bırakma
Söz konusu güvenlik açığı, 13 yıllık bir kullanım sonrası serbest bırakma (use-after-free) zafiyeti nedeniyle oluşmaktadır. Bu açık, kimlik doğrulaması yapılmış tehdit aktörleri tarafından, varsayılan olarak etkin durumda olan bir Lua scripti kullanılarak kötüye kullanılabilir. Başarılı bir istismar, saldırganların Lua kumanda alanından kaçıp, kullanımdan sonra serbest bırakma işlemi gerçekleştirmesine ve hedeflenen Redis ana bilgisayarlarında geri akış oluşturmasına olanak tanır. Bu tür bir saldırı ile uzaktan kod çalıştırma imkanı elde edilebilir.
Saldırının Sonuçları ve Etkileri
Eğer bir Redis ana bilgisayarı tehlikeye girerse, saldırganlar birçok zararlı eylem gerçekleştirilebilirler. Bu eylemler arasında kimlik bilgilerini çalma, zararlı yazılımlar veya kripto para madenciliği araçlarının dağıtımı, hassas verilerin çıkarılması ve kurbanın ağındaki diğer sistemlere hareket etme imkanı bulunmaktadır. Saldırganlar, ele geçirilen bilgileri kullanarak diğer bulut hizmetlerine de erişim sağlayabilir.
Wiz araştırmacıları, saldırganların sistemin tam erişimine sahip olmasının, bu tür durumlarda veri sızdırma, silme veya şifreleme gibi eylemleri kolaylaştırdığını belirtmiştir. Ayrıca, bu durumun kaynakları ele geçirme ve bulut ortamlarında yan hareket kabiliyeti sağlama açısından büyük bir tehdit oluşturduğunu vurgulamıştır.
Risk Altında Olan Redis Örnekleri
Wiz tarafından yapılan bir araştırma, çevrimiçi olarak yaklaşık 330,000 Redis örneğinin tehlikeye girdiğini göstermektedir. Bu örneklerin en az 60,000’inin kimlik doğrulaması gerektirmediği tespit edilmiştir. Redis ve Wiz, sistem yöneticilerine gecikmeksizin güncellemeleri uygulamalarını ve tüm açık durumdaki örneklerin önceliklendirilmesini tavsiye etmektedir.
Patching ve Güvenlik Önlemleri
Redis ve Wiz, 7.22.2-12 ve üzerindeki sürümler için yüksek öncelikli güncellemelerin uygulanması gerektiğini belirtiyorlar. Bu güvenlik güncellemeleri, yalnızca Redis’in kendi yazılımı için değil, aynı zamanda Lua scriptlerinin bulunduğu tüm Redis OSS/CE/Stack sürümleri için geçerlidir. Güvenlik açısından ek önlemler alarak sistemlerini daha da güçlendirmeyi öneriyorlar. Bu önlemler arasında kimlik doğrulama işlemlerinin etkinleştirilmesi, Lua scriptlerinin devre dışı bırakılması ve gereksiz komutların kapatılması bulunmaktadır.
Ağ Güvenliği ve Kullanıcı Yöneten Önlemler
Redis yöneticileri, ağ seviyesinde erişim kontrolünü sağlamanın yanı sıra, sisteme yalnızca yetkili ağlardan erişim sağlamak için güvenlik duvarları ve sanal özel ağlar (VPC) kullanabilirler. Non-root kullanıcı hesaplarıyla Redis çalıştırmak, günlükleme ve izleme etkinleştirmek de önerilen yöntemler arasında yer almaktadır.
Potansiyel Tehditler ve Saldırı Örnekleri
Tehdit aktörleri, Redis örneklerine sık sık saldıran botnetler aracılığıyla hedef alırlar. Örneğin, Temmuz 2024’te, bir eşler arası zararlı yazılım botneti P2PInfect, Monero kripto para madenciliği zararlısını yüklemiş ve internet üzerinde açıkta olan ve yamanmamış Redis sunucularını hedef almıştır.
Daha önce, Redis sunucuları ayrıca Redigo zararlısı ile arka kapı açılmış ve HeadCrab ve Migo zararlı yazılımlarının saldırılarında enfekte olmuştur. Bu durum, koruma özelliklerini devre dışı bırakıp bu sunucuları Monero madenciliği için kullanmak mümkündür.
Sonuç Olarak
Redis üzerindeki RediShell (CVE-2025-49844) açığı, onun arka planındaki Lua yorumlayıcısındaki temel sorundan kaynaklanmaktadır. Bu durum, dünya genelinde yüz binlerce kullanıcıyı etkilemekte ve organizasyonlar için büyük bir güvenlik tehdidi oluşturmaktadır. Güvenlik açığından etkilenmemek için Redis yöneticilerinin ortamlarını güncellemeleri ve doğru güvenlik kontrollerini sağlamaları son derece elzemdir.
