반응형
CVE-2025-49844 — “RediShell”
- Redis의 내장 Lua 스크립트 엔진에서 Use-After-Free (UAF) 버그가 존재합니다. 인증된 사용자가 악의적으로 조작한 Lua 스크립트를 보내면, Lua 샌드박스를 탈출해 호스트 시스템에서 임의 코드 실행(RCE) 이 가능합니다.
- 이 취약점의 CVSS 점수는 10.0 (최대) 로, 매우 심각한 수준입니다.
- 영향을 받는 버전은 Lua 스크립팅을 포함한 거의 모든 Redis 버전이며, Redis 측에서는 2025년 10월 3일자로 보안 수정 버전을 발표했습니다. 주요 패치된 버전은 예: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2 등입니다.
- 많은 클라우드 환경에서 Redis가 사용되고 있고, 일부는 인증 없이 인터넷에 노출된 경우가 많아 실제 위험이 큽니다.
지금 당장 해야 할 보안 조치
- Redis 인스턴스를 운영 중이라면 즉시 최신 패치 버전으로 업데이트 하세요. 특히 RediShell(CVE-2025-49844) 대응이 반드시 필요합니다.
- Lua 스크립트를 사용하지 않는다면, Lua scripting 비활성화 또는 스크립트 실행 권한 제한 (ACL 사용) 을 고려하세요.
- Redis가 외부(인터넷)에 노출되어 있거나, 인증이 없는 경우라면 즉시 네트워크 접근 제한 및 강력한 인증 설정 적용을 권장합니다.
방법 1 - CLI(Command Line Interface) 도구를 통한 방법
-> redis-cli -h 호스트IP -p 포트 -a 비밀번호 ACL SETUSER 계정 -eval -evalsha -script -scriptload
-> redis-cli -h 호스트IP -p 포트 -a 비밀번호 ACL SAVE EVAL/EVALSHA 명령 차단으로 Lua 스크립트 기반 공격을 예방하며 재기동이 불필요. ACL SAVE를 통해 재기 동 후에도 정책 지속
*Redis6 버전대에는 -scriptload 가 없음
□ 참고사이트
[1] https://github.com/redis/redis/releases
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-49844