حذرت شركة Redis من ثغرة أمنية بالغة الخطورة تهدد آلاف الخوادم في بيئات الحوسبة السحابية، بعد اكتشاف خلل قديم في مكون برمجي أساسي يتيح للمهاجمين تنفيذ أوامر عن بعد على الأنظمة المتأثرة.
تعد Redis، المعروفة اختصاراً باسم Remote Dictionary Server، من أكثر تقنيات تخزين البيانات استخداماً في البيئات السحابية، إذ تعمل كقاعدة بيانات وذاكرة مؤقتة ووسيط رسائل، وتعتمد على تخزين البيانات في الذاكرة للوصول فائق السرعة. وتستخدم التقنية في نحو 75% من بيئات الحوسبة السحابية حول العالم.
نتجت الثغرة، التي حملت المعرف CVE-2025-49844، عن خطأ برمجي من نوع use-after-free ظل قائماً في الشيفرة المصدرية لـRedis منذ 13 عاماً. ويمكن لأي جهات تهديد تمتلك صلاحيات دخول مصادق عليها عبر سكربت بلغة Lua استغلالها.
ويتيح الاستغلال الناجح للثغرة تجاوز بيئة العزل الخاصة بـLua وتنفيذ أوامر عن بعد، بما في ذلك إنشاء اتصال عكسي يمنح المهاجم وصولاً دائماً إلى الخادم المستهدف.
سيطرة كاملة على الأنظمة
بعد اختراق الخادم، يمكن للمهاجمين سرقة بيانات اعتماد الدخول، أو تثبيت برمجيات خبيثة وأدوات تعدين العملات الرقمية، أو استخراج بيانات حساسة من Redis، أو الانتقال أفقياً داخل شبكة الضحية للوصول إلى أنظمة أخرى.
أطلق باحثو شركة Wiz، الذين اكتشفوا الثغرة خلال مسابقة Pwn2Own في برلين في مايو 2025، على الثغرة اسم RediShell، وأوضحوا أن الهجوم “يمنح المهاجم وصولاً كاملاً إلى النظام المستضيف، بما في ذلك القدرة على نسخ أو حذف أو تشفير البيانات الحساسة، واختطاف الموارد، وتنفيذ حركة جانبية داخل بيئات السحابة”.
ورغم أن تنفيذ الهجوم يتطلب حصول المهاجم أولاً على وصول مصادق عليه إلى الخادم، إلا أن Wiz كشفت عن وجود نحو 330 ألف خادم Redis مكشوف على الإنترنت، بينها ما لا يقل عن 60 ألفاً لا تتطلب أي مصادقة.
ودعت كل من Redis وWiz المسؤولين التقنيين إلى تطبيق التحديثات الأمنية فوراً، مع التركيز على الخوادم المكشوفة للإنترنت.
الإصدارات المتأثرة والتحديثات المتاحة
تؤثر الثغرة على جميع إصدارات Redis التي تستخدم ميزة Lua scripting، وقد تم تصنيفها بمستوى خطورة 10.0 وفق معيار CVSS، أي مستوى حرج.
وتمثلت الإصدارات الآمنة بعد التحديث في:
- Redis Software: 7.22.2-12 وما بعدها، 7.8.6-207 وما بعدها، 7.4.6-272 وما بعدها، 7.2.4-138 وما بعدها، 6.4.2-131 وما بعدها.
- Redis OSS/CE/Stack: 8.2.2 وما بعدها، 8.0.4 وما بعدها، 7.4.6 وما بعدها، 7.2.11 وما بعدها، وStack ابتداءً من 7.4.0-v7 وما بعدها.
خطوات الحماية الإضافية
أوصت Redis مسؤولي الأنظمة باتخاذ إجراءات وقائية لتعزيز الحماية ضد الهجمات، منها:
- تفعيل المصادقة لجميع الخوادم.
- تعطيل ميزة Lua scripting والأوامر غير الضرورية.
- تشغيل Redis باستخدام حساب مستخدم غير إداري.
- تفعيل السجلات والمراقبة الأمنية.
- حصر الوصول على الشبكات المصرح بها فقط.
تطبيق ضوابط الشبكة باستخدام الجدران النارية وVirtual Private Clouds.
وقالت شركة Wiz إن الثغرة تمثل “تهديداً واسع النطاق لجميع القطاعات”، مشيرة إلى أن “الانتشار الكبير لـRedis، مع الإعدادات الافتراضية غير الآمنة، يجعل الحاجة إلى التحديث الفوري أمراً ملحاً لتجنب الاستغلال”.
Redis هدف متكرر لهجمات البرمجيات الخبيثة
تتعرض خوادم Redis منذ سنوات لهجمات متكررة عبر شبكات botnet. ففي يونيو 2024، استغلت برمجية P2PInfect الثغرات لتثبيت أدوات تعدين لعملة Monero وتنفيذ وحدات فدية على الخوادم المكشوفة.
كما سبق أن أصيبت خوادم Redis ببرمجيات Redigo وHeadCrab وMigo، التي عطلت خصائص الحماية في الأنظمة المستهدفة واستخدمت مواردها لتعدين العملات الرقمية.
