Kritische Redis-Schwachstelle ermöglicht Angreifern vollständige Kontrolle über Server

DarkReplica zielt während der Replikation auf die Functions-Engine ab. Ein Angreifer, der sich an eine Redis-Instanz authentifizieren kann, kann diesen Server mittels des SLAVEOF-Befehls dazu bringen, eine Replik eines zu werden. Beim Synchronisieren kann der Server einen neuen Funktionskontext aus dem eingehenden RDB-Datei (Redis-Dump) laden.

Redis RCE-Schwachstelle Das Problem wurde Rahmen einer Forschungsinitiative 2025 entdeckt und zeigte, wie komplexe Funktionen und unerwartete Wechselwirkungen zu kritischen Risiken führen können. Redis verarbeitet langlaufende Lua-Funktionen, indem es periodisch die Verarbeitung; dies ist der Mechanismus hinter FUNCTION KILL.

Allerdings entsteht durch die Verarbeitung während einer langsamen, pausierten Funktion eine Schwachstelle: Der Replikationshandler gibt den laufenden Lua-Engine-Freigabe und ersetzt ihn durch einen neuen Kontext, ohne die Wiederaufnahme der pausierten Funktion zu verhindern.

Sicherheitslage und Risiko

Die pausierte Funktion setzt dann ihre Ausführung fort, obwohl der lua_State und verwandte Objekte bereits freigegeben wurden, was zu einem Use-After-Fehler führt. Die Ausnutzung dieser Schwachstelle ist zwar komplex, aber praktikabel.

Forscher entwickelten Primitive, Heap-Adressen zu lecken, deterministische Heap-Allokationen zu erzwingen und gefälschte Lua-Objekte zu erstellen.

Durch die Ausführung des anfälligen Codes innerhalb ältige Besprühen des Lua-Speicherbereichs gelang es ihnen, die Kontrolle über die Lua-Virtual Machine zurückzugewinnen und Read-/Write-Primitive zu erzeugen. interne Funktionszeiger um, um libc-Funktionen aufzurufen.

Sicherheitslage und Risiko

Schließlich riefen sie Systembefehle aus und erzielten eine vollständige Remote-Code-Ausführung auf dem Host. Die Schwachstelle betraf zahlreiche gepflegte Redis-Release-Serien und wurde am 5. Mai 2026 fr die Versionen 7.2.x, 7.4.x, 8.2.x, 8.4.x und 8.6.x gepatcht.

Betreiber mssen unverzglich auf die gepatchten Versionen upgraden und exponierte Redis-Instanzen berprfen.

Da die Ausnutzung eine Authentifizierung und fortgeschrittene Arbeit mit dem Arbeitsspeicher erfordert, ist das Risiko fr falsch konfigurierte Server am hchsten, die schwache oder keine Credentials zulassen, sowie Umgebungen, in denen Angreifer gltige Credentials erlangen knnen.

Sicherheitslage und Risiko

Das Vorfall verdeutlicht, dass komplexe in-Prozess-Skripting- und Replikationsfunktionen die Angriffsflche vergrern und die Bedeutung sorgfltiger Synchronisation und Lebenszyklusverwaltung unterstreichen.

Benutzer sollten Redis aktualisieren, starke Authentifizierung und Netzwerkschutzmanahmen durchsetzen und auf unerwartete nderungen an der Agentenkonfiguration oder -funktionalitt berwachen. Der Forscher verffentlichte das vollstndige technische Dokument sowie die Ausnutzung.

Anbieter und Cloud-Sicherheitstools bieten nun Advisories zur Erkennung betroffener Installationen an. Abi ist Sicherheitsredakteurin und Reporterin bei