“Redis พบช่องโหว่ร้ายแรงซ่อนมา 13 ปี — เสี่ยงถูกแฮกนับแสนเซิร์ฟเวอร์ทั่วโลก”
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ความปลอดภัยระดับวิกฤตที่ถูกซ่อนอยู่ในซอร์สโค้ดมานานถึง 13 ปี โดยช่องโหว่นี้มีชื่อว่า CVE-2025-49844 หรือ “RediShell” ซึ่งเปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดอันตรายจากระยะไกลได้ผ่านการใช้ Lua script ที่ถูกออกแบบมาเฉพาะ
ช่องโหว่นี้เกิดจากบั๊กประเภท “use-after-free” ในระบบจัดการหน่วยความจำของ Lua engine ที่ฝังอยู่ใน Redis โดยผู้โจมตีสามารถใช้สคริปต์ Lua เพื่อหลบหนีจาก sandbox และเข้าถึงหน่วยความจำที่ถูกปล่อยแล้ว ทำให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้เต็มรูปแบบ
ผลกระทบอาจรุนแรงถึงขั้นขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ ขุดคริปโต หรือเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายได้ โดยเฉพาะอย่างยิ่งเมื่อพบว่ามี Redis instance กว่า 330,000 ตัวที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต และกว่า 60,000 ตัวไม่มีระบบยืนยันตัวตนเลย
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 8.2.2 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที หากไม่สามารถอัปเดตได้ในตอนนี้ ควรปิดการใช้งาน Lua script โดยใช้ ACL เพื่อจำกัดคำสั่ง EVAL และ EVALSHA พร้อมตั้งค่าการยืนยันตัวตนให้รัดกุม
นักวิจัยจาก Wiz และ Trend Micro ที่ค้นพบช่องโหว่นี้เตือนว่า “นี่คือช่องโหว่ที่อันตรายที่สุดในรอบหลายปี” และอาจนำไปสู่การโจมตีแบบ botnet และ cryptojacking คล้ายกับกรณีมัลแวร์ P2PInfect ที่เคยแพร่กระจายผ่าน Redis ในปี 2024
ข้อมูลสำคัญจากข่าว
Redis พบช่องโหว่ CVE-2025-49844 ที่มีความรุนแรงระดับ 10/10
ช่องโหว่นี้เกิดจากบั๊ก use-after-free ใน Lua engine ที่ฝังอยู่ใน Redis
ผู้โจมตีสามารถใช้ Lua script เพื่อหลบ sandbox และรันโค้ดอันตราย
ส่งผลให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้
Redis ได้ออกแพตช์ในเวอร์ชัน 8.2.2 เพื่อแก้ไขช่องโหว่นี้
มี Redis instance กว่า 330,000 ตัวเปิดให้เข้าถึงผ่านอินเทอร์เน็ต
อย่างน้อย 60,000 ตัวไม่มีระบบยืนยันตัวตน
หากไม่สามารถอัปเดตได้ ควรใช้ ACL ปิดคำสั่ง EVAL และ EVALSHA
ช่องโหว่นี้ถูกค้นพบโดย Wiz และ Trend Micro ในเดือนพฤษภาคม 2025
Redis Cloud ได้รับการอัปเดตแล้ว ไม่ต้องดำเนินการเพิ่มเติม
ข้อมูลเสริมจากภายนอก
Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
ช่องโหว่นี้มีผลกับ Redis ทุกเวอร์ชันที่รองรับ Lua scripting
Valkey ซึ่งเป็น fork ของ Redis ก็ได้รับผลกระทบเช่นกัน
การโจมตีแบบ cryptojacking ผ่าน Redis เคยเกิดขึ้นแล้วในปี 2024
การตั้งค่า Redis โดยไม่ใช้ root และจำกัดการเข้าถึงผ่าน firewall เป็นแนวทางป้องกันที่แนะนำ
https://www.techradar.com/pro/security/redis-warns-major-security-flaw-could-be-impacting-thousands-of-instances-so-patch-now
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ความปลอดภัยระดับวิกฤตที่ถูกซ่อนอยู่ในซอร์สโค้ดมานานถึง 13 ปี โดยช่องโหว่นี้มีชื่อว่า CVE-2025-49844 หรือ “RediShell” ซึ่งเปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดอันตรายจากระยะไกลได้ผ่านการใช้ Lua script ที่ถูกออกแบบมาเฉพาะ
ช่องโหว่นี้เกิดจากบั๊กประเภท “use-after-free” ในระบบจัดการหน่วยความจำของ Lua engine ที่ฝังอยู่ใน Redis โดยผู้โจมตีสามารถใช้สคริปต์ Lua เพื่อหลบหนีจาก sandbox และเข้าถึงหน่วยความจำที่ถูกปล่อยแล้ว ทำให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้เต็มรูปแบบ
ผลกระทบอาจรุนแรงถึงขั้นขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ ขุดคริปโต หรือเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายได้ โดยเฉพาะอย่างยิ่งเมื่อพบว่ามี Redis instance กว่า 330,000 ตัวที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต และกว่า 60,000 ตัวไม่มีระบบยืนยันตัวตนเลย
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 8.2.2 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที หากไม่สามารถอัปเดตได้ในตอนนี้ ควรปิดการใช้งาน Lua script โดยใช้ ACL เพื่อจำกัดคำสั่ง EVAL และ EVALSHA พร้อมตั้งค่าการยืนยันตัวตนให้รัดกุม
นักวิจัยจาก Wiz และ Trend Micro ที่ค้นพบช่องโหว่นี้เตือนว่า “นี่คือช่องโหว่ที่อันตรายที่สุดในรอบหลายปี” และอาจนำไปสู่การโจมตีแบบ botnet และ cryptojacking คล้ายกับกรณีมัลแวร์ P2PInfect ที่เคยแพร่กระจายผ่าน Redis ในปี 2024
ข้อมูลสำคัญจากข่าว
Redis พบช่องโหว่ CVE-2025-49844 ที่มีความรุนแรงระดับ 10/10
ช่องโหว่นี้เกิดจากบั๊ก use-after-free ใน Lua engine ที่ฝังอยู่ใน Redis
ผู้โจมตีสามารถใช้ Lua script เพื่อหลบ sandbox และรันโค้ดอันตราย
ส่งผลให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้
Redis ได้ออกแพตช์ในเวอร์ชัน 8.2.2 เพื่อแก้ไขช่องโหว่นี้
มี Redis instance กว่า 330,000 ตัวเปิดให้เข้าถึงผ่านอินเทอร์เน็ต
อย่างน้อย 60,000 ตัวไม่มีระบบยืนยันตัวตน
หากไม่สามารถอัปเดตได้ ควรใช้ ACL ปิดคำสั่ง EVAL และ EVALSHA
ช่องโหว่นี้ถูกค้นพบโดย Wiz และ Trend Micro ในเดือนพฤษภาคม 2025
Redis Cloud ได้รับการอัปเดตแล้ว ไม่ต้องดำเนินการเพิ่มเติม
ข้อมูลเสริมจากภายนอก
Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
ช่องโหว่นี้มีผลกับ Redis ทุกเวอร์ชันที่รองรับ Lua scripting
Valkey ซึ่งเป็น fork ของ Redis ก็ได้รับผลกระทบเช่นกัน
การโจมตีแบบ cryptojacking ผ่าน Redis เคยเกิดขึ้นแล้วในปี 2024
การตั้งค่า Redis โดยไม่ใช้ root และจำกัดการเข้าถึงผ่าน firewall เป็นแนวทางป้องกันที่แนะนำ
https://www.techradar.com/pro/security/redis-warns-major-security-flaw-could-be-impacting-thousands-of-instances-so-patch-now
🚨 “Redis พบช่องโหว่ร้ายแรงซ่อนมา 13 ปี — เสี่ยงถูกแฮกนับแสนเซิร์ฟเวอร์ทั่วโลก”
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ความปลอดภัยระดับวิกฤตที่ถูกซ่อนอยู่ในซอร์สโค้ดมานานถึง 13 ปี โดยช่องโหว่นี้มีชื่อว่า CVE-2025-49844 หรือ “RediShell” ซึ่งเปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดอันตรายจากระยะไกลได้ผ่านการใช้ Lua script ที่ถูกออกแบบมาเฉพาะ
ช่องโหว่นี้เกิดจากบั๊กประเภท “use-after-free” ในระบบจัดการหน่วยความจำของ Lua engine ที่ฝังอยู่ใน Redis โดยผู้โจมตีสามารถใช้สคริปต์ Lua เพื่อหลบหนีจาก sandbox และเข้าถึงหน่วยความจำที่ถูกปล่อยแล้ว ทำให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้เต็มรูปแบบ
ผลกระทบอาจรุนแรงถึงขั้นขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ ขุดคริปโต หรือเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายได้ โดยเฉพาะอย่างยิ่งเมื่อพบว่ามี Redis instance กว่า 330,000 ตัวที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต และกว่า 60,000 ตัวไม่มีระบบยืนยันตัวตนเลย
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 8.2.2 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที หากไม่สามารถอัปเดตได้ในตอนนี้ ควรปิดการใช้งาน Lua script โดยใช้ ACL เพื่อจำกัดคำสั่ง EVAL และ EVALSHA พร้อมตั้งค่าการยืนยันตัวตนให้รัดกุม
นักวิจัยจาก Wiz และ Trend Micro ที่ค้นพบช่องโหว่นี้เตือนว่า “นี่คือช่องโหว่ที่อันตรายที่สุดในรอบหลายปี” และอาจนำไปสู่การโจมตีแบบ botnet และ cryptojacking คล้ายกับกรณีมัลแวร์ P2PInfect ที่เคยแพร่กระจายผ่าน Redis ในปี 2024
✅ ข้อมูลสำคัญจากข่าว
➡️ Redis พบช่องโหว่ CVE-2025-49844 ที่มีความรุนแรงระดับ 10/10
➡️ ช่องโหว่นี้เกิดจากบั๊ก use-after-free ใน Lua engine ที่ฝังอยู่ใน Redis
➡️ ผู้โจมตีสามารถใช้ Lua script เพื่อหลบ sandbox และรันโค้ดอันตราย
➡️ ส่งผลให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้
➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 8.2.2 เพื่อแก้ไขช่องโหว่นี้
➡️ มี Redis instance กว่า 330,000 ตัวเปิดให้เข้าถึงผ่านอินเทอร์เน็ต
➡️ อย่างน้อย 60,000 ตัวไม่มีระบบยืนยันตัวตน
➡️ หากไม่สามารถอัปเดตได้ ควรใช้ ACL ปิดคำสั่ง EVAL และ EVALSHA
➡️ ช่องโหว่นี้ถูกค้นพบโดย Wiz และ Trend Micro ในเดือนพฤษภาคม 2025
➡️ Redis Cloud ได้รับการอัปเดตแล้ว ไม่ต้องดำเนินการเพิ่มเติม
✅ ข้อมูลเสริมจากภายนอก
➡️ Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
➡️ ช่องโหว่นี้มีผลกับ Redis ทุกเวอร์ชันที่รองรับ Lua scripting
➡️ Valkey ซึ่งเป็น fork ของ Redis ก็ได้รับผลกระทบเช่นกัน
➡️ การโจมตีแบบ cryptojacking ผ่าน Redis เคยเกิดขึ้นแล้วในปี 2024
➡️ การตั้งค่า Redis โดยไม่ใช้ root และจำกัดการเข้าถึงผ่าน firewall เป็นแนวทางป้องกันที่แนะนำ
https://www.techradar.com/pro/security/redis-warns-major-security-flaw-could-be-impacting-thousands-of-instances-so-patch-now
0 ความคิดเห็น
0 การแบ่งปัน
70 มุมมอง
0 รีวิว
English