Redis Peringatkan Cacat Keamanan Kritis yang Dapat Dikendalikan dari Jarak Jauh

Tim keamanan Redis mengungkapkan adanya kerentanan kritis dengan tingkat keparahan maksimum (CVSS 10.0) yang memungkinkan penyerang mengeksekusi kode jarak jauh (remote code execution) pada ribuan instance Redis yang belum ditambal.

Kerentanan ini teridentifikasi sebagai CVE-2025-49844 dan ditemukan oleh peneliti keamanan dari Wiz dalam ajang Pwn2Own Berlin 2025. Eksploitasi diberi nama “RediShell” karena memungkinkan pelaku menyerang host Redis secara langsung dan memperoleh akses penuh ke sistem target.

🧩 Latar Belakang Redis dan Akar Masalah

Redis (Remote Dictionary Server) merupakan penyimpanan data berbasis memori (in-memory data store) yang banyak digunakan sebagai cache, database, maupun message broker.
Diperkirakan 75% lingkungan cloud di dunia menggunakan Redis karena kecepatan dan fleksibilitasnya.

Namun, cacat keamanan yang baru ditemukan ini ternyata berasal dari bug “use-after-free” yang sudah berusia 13 tahun di kode sumber Redis, khususnya pada fitur eksekusi skrip Lua yang aktif secara default.

⚠️ Dampak dan Mekanisme Serangan

Cacat ini memungkinkan penyerang yang telah memiliki akses autentikasi menjalankan skrip Lua berbahaya untuk:

• Melarikan diri dari sandbox Lua,
• Menjalankan perintah berbahaya di host,
• Membuka reverse shell untuk akses permanen,
• Dan pada akhirnya mengambil alih penuh sistem Redis.

Setelah menguasai host, pelaku dapat:

• Mencuri kredensial dan data sensitif,
• Menanam malware atau cryptominer,
• Melakukan pergerakan lateral di jaringan internal,
• Bahkan mengenkripsi data untuk pemerasan (ransomware).

Menurut riset Wiz, terdapat lebih dari 330.000 instance Redis yang terpapar di internet, dengan sekitar 60.000 di antaranya tidak memiliki autentikasi sama sekali — membuat potensi serangan semakin tinggi.

🛠️ Versi yang Terpengaruh dan Patch yang Tersedia

Redis merilis pembaruan keamanan pada 4 Oktober 2025 untuk menutup celah ini di berbagai versi produk, baik komersial maupun open-source (OSS/CE).

Redis dan Wiz menegaskan bahwa prioritas patch harus diberikan pada instance yang dapat diakses dari internet.

🔒 Rekomendasi Keamanan Tambahan

Selain memperbarui versi Redis, administrator disarankan melakukan langkah-langkah pencegahan berikut:

1. Aktifkan autentikasi Redis dan nonaktifkan koneksi tanpa kata sandi.
2. Nonaktifkan fitur Lua scripting jika tidak diperlukan.
3. Jalankan Redis dengan akun non-root untuk membatasi hak akses.
4. Batasi akses hanya untuk jaringan internal atau VPC tepercaya.
5. Gunakan firewall dan ACL untuk mencegah akses tidak sah.
6. Aktifkan logging dan monitoring real-time untuk mendeteksi aktivitas anomali.

“RediShell (CVE-2025-49844) adalah ancaman serius bagi organisasi di berbagai sektor karena akar masalahnya ada di interpreter Lua bawaan Redis,” tulis Wiz dalam laporannya.
“Dengan jumlah instance yang sangat besar dan konfigurasi default yang kurang aman, tindakan mitigasi segera sangat diperlukan.”

💣 Redis, Target Favorit Botnet

Redis secara historis memang sering menjadi target serangan botnet. Tahun-tahun sebelumnya, beberapa malware yang memanfaatkan Redis antara lain:

• P2PInfect (2024) – menyebarkan cryptominer Monero dan modul ransomware.
• Redigo, HeadCrab, dan Migo – membajak Redis tanpa patch untuk menonaktifkan perlindungan dan menambang kripto.

Serangan baru seperti RediShell menunjukkan bahwa eksploitasi Redis kini semakin canggih dan berorientasi pada persistensi dan monetisasi data korban.

🚨 Kesimpulan

Kerentanan CVE-2025-49844 merupakan salah satu bug paling berbahaya yang pernah ditemukan di Redis, karena memengaruhi semua versi dan mudah disalahgunakan oleh aktor terautentikasi.
Dengan ratusan ribu instance Redis terekspos publik, organisasi diimbau untuk segera memperbarui sistem dan memperketat konfigurasi keamanan agar terhindar dari potensi kompromi massal.

Sumber: BleepingComputer