Phát Hiện Lỗ Hổng Nghiêm Trọng Trong Redis Tồn Tại Suốt 13 Năm

Redis – trái tim của hạ tầng đám mây toàn cầu

Redis không chỉ là một cơ sở dữ liệu dạng key-value. Nó là “xương sống” của hầu hết các hệ thống phân tán, caching engine, hàng đợi message và microservices hiện đại. Theo ước tính, khoảng 75% môi trường đám mây trên toàn cầu có sự hiện diện của Redis – từ các ứng dụng SaaS, API Gateway, đến hạ tầng thương mại điện tử và AI pipeline.

Vì vậy, khi một lỗ hổng nghiêm trọng bị phát hiện trong Redis, cộng đồng an ninh mạng hiểu ngay rằng đây không chỉ là lỗi kỹ thuật – mà là một quả bom hẹn giờ của toàn bộ hệ sinh thái cloud.

CVE-2025-49844: “bóng ma” Lua trong lòng Redis

Lỗ hổng, được gán mã CVE-2025-49844, ảnh hưởng đến mọi phiên bản Redis có hỗ trợ Lua scripting — bao gồm Redis OSS, CE, Stack và Redis Software.

Theo nhóm nghiên cứu từ Wiz (Benny Isaacs và Nir Brakha), phối hợp với nhóm Zero Day Initiative (ZDI) của Trend Micro, lỗi này cho phép người dùng đã xác thực gửi một đoạn script Lua độc hại, lợi dụng quá trình garbage collector (trình quản lý bộ nhớ của Lua), và kích hoạt lỗi “use-after-free”.

Kết quả: kẻ tấn công có thể thực thi mã tuỳ ý (RCE) ngay bên trong tiến trình Redis server — điều mà trước đây được coi là “bất khả thi” với cơ chế sandbox Lua của Redis.

“Lỗ hổng này cho phép toàn quyền điều khiển hệ thống – và tệ hơn, nó đã ẩn mình suốt 13 năm trong mã nguồn Redis,” – nhóm Wiz cảnh báo.

Mức độ ảnh hưởng: 330.000 instance phơi nhiễm, 60.000 không có xác thực

Theo phân tích của Wiz, có khoảng 330.000 instance Redis đang phơi bày ra Internet, trong đó 60.000 instance không yêu cầu xác thực truy cập – mở toang cánh cửa cho tấn công tự động.

Các chuyên gia khuyến nghị:

Cập nhật ngay lên phiên bản mới nhất được Redis công bố.
Ưu tiên vá cho các instance có cổng mở ra Internet.
Kích hoạt xác thực bắt buộc, sử dụng tường lửa hoặc chính sách mạng giới hạn truy cập từ các IP tin cậy.

Redis Cloud: an toàn, nhưng người dùng tự quản cần cảnh giác

Theo Riaz Lakhani, Giám đốc An ninh Thông tin (CISO) của Redis, Redis Cloud đã được vá hoàn toàn; khách hàng sử dụng dịch vụ cloud không cần hành động thêm.

Tuy nhiên, đối với người dùng tự triển khai (self-managed), nguy cơ vẫn còn nguyên nếu chưa cập nhật bản vá.

Redis khuyến nghị kiểm tra các chỉ báo xâm nhập (IoC) gồm:

Truy cập trái phép hoặc từ nguồn không xác định.
Lưu lượng mạng bất thường (ingress/egress).
Các script lạ trong cơ sở dữ liệu.
Server crash không rõ nguyên nhân, đặc biệt với trace từ Lua engine.
Lệnh bị thực thi bất ngờ trong nhật ký Redis.

Một lời nhắc lạnh gáy về “di sản kỹ thuật”

Redis được tạo ra năm 2009 bởi Salvatore Sanfilippo (“antirez”), với mục tiêu ban đầu là một kho dữ liệu cực nhanh, nhẹ, đơn giản. Nhưng theo thời gian, nó đã trở thành nền tảng phức tạp hơn nhiều, với scripting, cluster, replication, và module plugin.

Chính sự mở rộng đó đã tạo ra bề mặt tấn công rộng hơn, và CVE-2025-49844 là ví dụ kinh điển của “legacy code risk” – lỗi tồn tại sâu trong lõi hệ thống, không ai ngờ tới, và không được phát hiện suốt hơn một thập kỷ.

Không có dấu hiệu khai thác – nhưng không thể chủ quan

Redis khẳng định chưa có bằng chứng nào về việc lỗ hổng này bị khai thác trong thực tế. Tuy nhiên, với khả năng RCE và việc mã nguồn Redis công khai, việc xuất hiện các proof-of-concept (PoC) chỉ là vấn đề thời gian.

Cộng đồng bảo mật khuyên nên giám sát chặt chẽ, đặc biệt với các hệ thống tiếp xúc Internet hoặc chứa dữ liệu nhạy cảm.

Khi “bộ nhớ nhanh” trở thành điểm yếu chậm chạp nhất

Redis luôn được ca ngợi vì hiệu năng “thần tốc” – nhưng vụ việc lần này là một lời nhắc rằng tốc độ và an toàn không thể tách rời.

Trong thế giới DevOps và AI-first ngày nay, một lỗ hổng âm thầm trong hạ tầng có thể lan ra toàn cầu chỉ trong vài giờ. Câu hỏi không còn là “liệu nó có bị khai thác” mà là “khi nào”.

Cập nhật, kiểm tra, và vá ngay – trước khi Redis trở thành “cánh cửa hậu” mở ra toàn bộ hạ tầng đám mây của bạn.