Kelemahan yang baru ditemui dalam Redis telah mencetuskan perbincangan hangat dalam komuniti keselamatan siber, bukan sahaja kerana impak teknikalnya, tetapi kerana skor CVSS sempurna 10.0 yang kontroversial yang diterimanya. Kelemahan ini, yang digelar RediShell dan dijejaki sebagai CVE-2025-49844, mengeksploitasi pepijat use-after-free berusia 12 tahun dalam enjin skrip Lua Redis untuk mencapai pelaksanaan kod jarak jauh. Walaupun Wiz Research memberikannya penarafan keterukan tertinggi yang mungkin, ramai pakar keselamatan mempersoalkan sama ada pemarkahan ini mencerminkan ancaman dunia sebenar dengan tepat.
Butiran Kelemahan
- CVE ID: CVE-2025-49844
- Skor CVSS: 10.0 (Kritikal)
- Vektor Serangan: Skrip Lua berniat jahat melalui rangkaian
- Prasyarat: Akses selepas pengesahan
- Impak: Pelaksanaan kod jarak jauh, melarikan diri sandbox
- Komponen Terjejas: Enjin skrip Lua
Kontroversi Pemarkahan CVSS
Perdebatan paling hangat tertumpu pada sama ada kelemahan selepas pengesahan layak mendapat skor CVSS maksimum 10.0. Profesional keselamatan menunjukkan bahawa penarafan ini meletakkan pepijat Redis di antara kelemahan paling teruk yang pernah ditemui, bersama-sama dengan ancaman yang tidak memerlukan pengesahan sama sekali. Pengkritik berhujah bahawa kelemahan terkenal seperti Shellshock, yang menerima penarafan 9.5 dan mempunyai impak yang jauh lebih luas, menunjukkan ketidakkonsistenan dalam pemarkahan CVSS.
Kontroversi ini menyerlahkan masalah asas dengan sistem CVSS itu sendiri. Ramai pengamal melihatnya lebih sebagai alat pemasaran daripada penilaian teknikal yang boleh dipercayai. Pemarkahan nampaknya mengutamakan impak maksimum teori berbanding senario eksploitasi praktikal, yang membawa kepada penarafan yang melambung tinggi yang tidak sepadan dengan risiko dunia sebenar.
Impak Dunia Sebenar Yang Terhad
Walaupun tajuk berita yang membimbangkan, ancaman sebenar yang ditimbulkan oleh kelemahan ini nampaknya lebih terhad daripada yang dicadangkan oleh skor sempurna. Eksploit memerlukan penyerang menghantar skrip Lua yang berniat jahat kepada contoh Redis, yang bermakna mereka sudah memerlukan tahap akses tertentu kepada sistem. Kebanyakan penggunaan yang mementingkan keselamatan menggunakan Redis untuk skrip yang dipercayai dan ditulis oleh pembangun dan bukannya membenarkan pelaksanaan kod pengguna sewenang-wenangnya.
Kelemahan ini pada asasnya membenarkan penyerang melarikan diri dari kotak pasir Lua Redis, tetapi ini mengandaikan organisasi bergantung pada kotak pasir tersebut untuk keselamatan pada mulanya. Dalam praktik, sangat sedikit penggunaan Redis membenarkan pengguna yang tidak dipercayai memuat naik dan melaksanakan kod Lua sewenang-wenangnya, menjadikan impak kelemahan lebih teori daripada praktikal untuk kebanyakan pemasangan.
Kotak pasir Lua: Ciri keselamatan yang mengehadkan apa yang boleh dilakukan oleh skrip Lua, menghalang mereka daripada mengakses sumber sistem atau melaksanakan operasi yang berbahaya.
Tahap Penilaian Risiko
- Risiko Kritikal: Terdedah kepada internet + contoh tanpa pengesahan
- Risiko Tinggi: Pendedahan rangkaian dalaman tanpa pengesahan
- Risiko Rendah: Contoh yang dijamin dengan betul menggunakan pengesahan dan kawalan rangkaian
- Risiko Minimum: Penggunaan yang tidak menggunakan skrip Lua yang dikemukakan pengguna
 |
|---|
| Gambar rajah rangkaian yang menggambarkan kelemahan pelayan Redis dalam infrastruktur siber |
Kebimbangan Pendedahan Yang Meluas
Walaupun kelemahan itu sendiri mungkin mempunyai impak praktikal yang terhad, penyelidikan mendedahkan statistik yang membimbangkan mengenai amalan penggunaan Redis. Kira-kira 330,000 contoh Redis terdedah kepada internet, dengan kira-kira 60,000 tidak mempunyai sebarang pengesahan sama sekali. Angka-angka ini menyerlahkan masalah keselamatan yang lebih luas di luar kelemahan khusus ini.
Isu ini sebahagiannya berpunca daripada konfigurasi lalai dan kesilapan penggunaan biasa. Banyak tutorial Docker dan persediaan kontena mengikat perkhidmatan kepada semua antara muka rangkaian dan bukannya mengehadkannya kepada localhost, secara tidak sengaja mendedahkan pangkalan data kepada internet awam. Ini mewujudkan ribut sempurna di mana kelemahan selepas pengesahan menjadi boleh dieksploitasi tanpa pengesahan.
Statistik Pendedahan Redis
- Jumlah pelayan terdedah di internet: ~330,000
- Pelayan tanpa pengesahan: ~60,000
- Persekitaran awan yang menggunakan bekas Redis: 57%
- Umur kelemahan: ~12 tahun (pepijat use-after-free)
 |
|---|
| Carta pai yang menunjukkan peratusan persekitaran awan yang berpotensi terjejas oleh kerentanan Redis |
Gambaran Besar
Kontroversi ini mencerminkan isu yang lebih mendalam dalam cara industri keselamatan siber menyampaikan risiko. Walaupun penyelidikan teknikal di sebalik penemuan CVE-2025-49844 nampaknya kukuh, pemarkahan dan penamaan yang sensasi ( RediShell ) mungkin tidak melayani kepentingan terbaik komuniti. Jurang antara keterukan teori dan impak praktikal boleh membawa kepada salah agihan sumber dan keletihan keselamatan.
Pepijat mendapat apa sahaja CVSS yang dikehendaki oleh pasukan pemasaran untuk makmal penyelidikan yang menemui mereka. Ia benar-benar seperti papan Ouija.
Kelemahan Redis juga menunjukkan bagaimana persekitaran awan moden sangat bergantung pada teknologi sumber terbuka. Walaupun pergantungan ini mewujudkan risiko bersama, ia juga membolehkan usaha keselamatan kolaboratif seperti inisiatif ZeroDayCloud yang disebut oleh penyelidik.
Organisasi yang menggunakan Redis sudah tentu harus menggunakan tampung yang tersedia, terutamanya untuk contoh yang terdedah kepada internet. Walau bagaimanapun, perbincangan komuniti mencadangkan bahawa amalan penggunaan yang betul dan kawalan keselamatan rangkaian kekal lebih penting daripada tergesa-gesa menangani setiap kelemahan dengan skor CVSS yang sempurna. Pengajaran sebenar mungkin mengenai memperbaiki konfigurasi lalai dan panduan penggunaan dan bukannya menganggap setiap kelemahan berskor tinggi sebagai ancaman apokaliptik.
Rujukan: RediShell: Critical Remote Code Execution Vulnerability (CVE-2025-49844) in Redis, 10 CVSS score