Une faille critique de sécurité affecte toutes les versions de Redis depuis plus de 13 ans. Grâce à une vulnérabilité notée CVSS 10.0, un attaquant authentifié peut exécuter du code à distance via un script Lua malveillant. Des millions d’utilisateurs pourraient être concernés. Si vous avez un serveur Redis exposé à Internet, vous êtes probablement à risque. Découvrez comment cette faille, connue sous le nom de RediShell, menace l’ensemble de l’infrastructure cloud, et quelles actions prendre pour limiter les risques.
Une vulnérabilité critique vieille de 13 ans
RediShell et la faille CVE-2025-49844
Identifiée sous le nom de CVE-2025-49844, cette vulnérabilité a été détectée dans le moteur de base de données en mémoire Redis. Elle affecte l’ensemble des versions via la prise en charge des scripts Lua. Un utilisateur authentifié peut manipuler le ramasse-miettes (garbage collector) et provoquer une condition use-after-free menant potentiellement à une exécution de code à distance.
Un accès préalable requis pour l’exploitation
Pour qu’un attaquant parvienne à exploiter cette faille, il doit d’abord disposer d’un accès authentifié à une instance Redis. Cela signifie que les instances Redis exposées en ligne sans protection représentent un risque particulièrement élevé. Selon les données actuelles, plus de 330 000 instances Redis sont accessibles sur Internet, dont environ 60 000 sans aucune forme d’authentification.
Correctifs disponibles et mesures d’atténuation
Versions corrigées publiées par Redis
Redis a publié des patchs de sécurité le 3 octobre 2025 pour corriger cette faille. Les versions concernées sont Redis 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Il est vivement recommandé d’effectuer une mise à jour immédiate pour combler cette vulnérabilité critique.
Mesures préventives en attendant l’application du patch
En attendant le déploiement des dernières versions, il est recommandé de désactiver l’exécution de scripts Lua en restreignant les commandes EVAL et EVALSHA à l’aide d’une liste de contrôle d’accès (ACL). Veillez à autoriser uniquement les identités de confiance pour exécuter des scripts potentiellement sensibles.
Quels sont les risques associés à RediShell ?
Une sortie du bac à sable Lua
La société de cybersécurité Wiz, qui a découvert et signalé la faille à Redis en mai 2025, a précisé que cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire en dehors du bac à sable Lua. Cela offre la possibilité d’accéder au système hôte sous-jacent, puis de voler des identifiants, de déployer des malwares ou encore de s’étendre à d’autres services cloud hébergés.
Impact sur les services cloud et menace de botnets
Dans un scénario d’attaque plausible, cette faille pourrait également être exploitée pour exécuter du minage clandestin de cryptomonnaie (cryptojacking) en utilisant les ressources système de Redis. Redis étant fréquemment ciblé pour élargir des botnets, la combinaison d’une faille critique et de configurations par défaut non sécurisées aggrave le risque de compromission à grande échelle.
Un lien avec la formation en cybersécurité
Comprendre l’exploitation des failles avec notre livre pour hacker
Pour ceux qui souhaitent apprendre à hacker et comprendre les techniques d’exploitation comme celle utilisée dans RediShell, notre livre pour hacker offre une approche théorique et pratique du pentesting et de l’analyse de vulnérabilités. C’est une ressource idéale pour tout professionnel ou étudiant en cybersécurité souhaitant maîtriser les bases du hacking éthique.
Face à ce type de faille, les experts de CyberCare accompagnent les entreprises dans la ségrégation des accès, l’audit de configuration Serveur Redis et la mise en place de mesures préventives contre l’exploitation de vulnérabilités à distance.
