Sebuah kerentanan yang baru ditemukan di Redis telah memicu diskusi panas di komunitas keamanan siber, tidak hanya karena dampak teknisnya, tetapi juga karena skor CVSS sempurna 10.0 yang kontroversial yang diterimanya. Kerentanan yang dijuluki RediShell dan dilacak sebagai CVE-2025-49844 ini mengeksploitasi bug use-after-free berusia 12 tahun di mesin scripting Lua Redis untuk mencapai eksekusi kode jarak jauh. Meskipun Wiz Research memberikan rating tingkat keparahan tertinggi yang mungkin, banyak ahli keamanan mempertanyakan apakah penilaian ini secara akurat mencerminkan ancaman dunia nyata.
Detail Kerentanan
- CVE ID: CVE-2025-49844
- Skor CVSS: 10.0 (Kritis)
- Vektor Serangan: Skrip Lua berbahaya melalui jaringan
- Prasyarat: Akses pasca-autentikasi
- Dampak: Eksekusi kode jarak jauh, pelarian sandbox
- Komponen Terpengaruh: Mesin skrip Lua
Kontroversi Penilaian CVSS
Perdebatan paling sengit berpusat pada apakah kerentanan pasca-autentikasi layak mendapat skor CVSS maksimum 10.0. Para profesional keamanan menunjukkan bahwa rating ini menempatkan bug Redis di antara kerentanan paling parah yang pernah ditemukan, bersama dengan ancaman yang sama sekali tidak memerlukan autentikasi. Kritikus berargumen bahwa kerentanan terkenal seperti Shellshock, yang menerima rating 9.5 dan memiliki dampak yang jauh lebih luas, menunjukkan inkonsistensi dalam penilaian CVSS.
Kontroversi ini menyoroti masalah mendasar dengan sistem CVSS itu sendiri. Banyak praktisi memandangnya lebih sebagai alat pemasaran daripada penilaian teknis yang dapat diandalkan. Penilaian tampaknya memprioritaskan dampak maksimum teoretis daripada skenario eksploitasi praktis, yang mengarah pada rating yang menggelembung dan tidak sesuai dengan risiko dunia nyata.
Dampak Dunia Nyata yang Terbatas
Meskipun ada headline yang mengkhawatirkan, ancaman sebenarnya yang ditimbulkan oleh kerentanan ini tampak lebih terbatas daripada yang disarankan oleh skor sempurna tersebut. Eksploit memerlukan penyerang untuk mengirim skrip Lua berbahaya ke instance Redis, yang berarti mereka sudah memerlukan tingkat akses tertentu ke sistem. Sebagian besar deployment yang sadar keamanan menggunakan Redis untuk skrip tepercaya yang ditulis developer daripada mengizinkan eksekusi kode pengguna yang sewenang-wenang.
Kerentanan ini pada dasarnya memungkinkan penyerang untuk melarikan diri dari sandbox Lua Redis, tetapi ini mengasumsikan organisasi mengandalkan sandbox tersebut untuk keamanan di tempat pertama. Dalam praktiknya, sangat sedikit deployment Redis yang mengizinkan pengguna tidak tepercaya untuk mengunggah dan mengeksekusi kode Lua yang sewenang-wenang, membuat dampak kerentanan lebih teoretis daripada praktis untuk sebagian besar instalasi.
Sandbox Lua: Fitur keamanan yang membatasi apa yang dapat dilakukan skrip Lua, mencegah mereka mengakses sumber daya sistem atau mengeksekusi operasi berbahaya.
Tingkat Penilaian Risiko
- Risiko Kritis: Instance yang terekspos internet + tidak terautentikasi
- Risiko Tinggi: Eksposur jaringan internal tanpa autentikasi
- Risiko Rendah: Instance yang diamankan dengan baik menggunakan autentikasi dan kontrol jaringan
- Risiko Minimal: Deployment yang tidak menggunakan skrip Lua yang dikirimkan pengguna
 |
|---|
| Diagram jaringan yang menggambarkan kerentanan server Redis dalam infrastruktur siber |
Kekhawatiran Eksposur yang Luas
Meskipun kerentanan itu sendiri mungkin memiliki dampak praktis yang terbatas, penelitian mengungkapkan statistik yang mengkhawatirkan tentang praktik deployment Redis. Sekitar 330.000 instance Redis terekspos ke internet, dengan sekitar 60.000 tidak memiliki autentikasi sama sekali. Angka-angka ini menyoroti masalah keamanan yang lebih luas di luar kerentanan spesifik ini.
Masalah ini sebagian berasal dari konfigurasi default dan kesalahan deployment yang umum. Banyak tutorial Docker dan pengaturan kontainer mengikat layanan ke semua antarmuka jaringan daripada membatasinya ke localhost, secara tidak sengaja mengekspos database ke internet publik. Ini menciptakan badai sempurna di mana kerentanan pasca-autentikasi menjadi dapat dieksploitasi tanpa autentikasi.
Statistik Paparan Redis
- Total instance yang terpapar internet: ~330.000
- Instance tanpa autentikasi: ~60.000
- Lingkungan cloud yang menggunakan kontainer Redis: 57%
- Usia kerentanan: ~12 tahun (bug use-after-free)
 |
|---|
| Diagram lingkaran yang menunjukkan persentase lingkungan cloud yang berpotensi terdampak oleh kerentanan Redis |
Gambaran Besar
Kontroversi ini mencerminkan masalah yang lebih dalam dalam cara industri keamanan siber mengkomunikasikan risiko. Meskipun penelitian teknis di balik penemuan CVE-2025-49844 tampak solid, penilaian dan penamaan yang disensasionalkan ( RediShell ) mungkin tidak melayani kepentingan terbaik komunitas. Ketidaksesuaian antara keparahan teoretis dan dampak praktis dapat menyebabkan salah alokasi sumber daya dan kelelahan keamanan.
Bug mendapat CVSS apa pun yang diinginkan tim pemasaran untuk lab penelitian yang menemukannya. Ini benar-benar papan Ouija.
Kerentanan Redis juga menunjukkan bagaimana lingkungan cloud modern sangat bergantung pada teknologi open-source. Meskipun ketergantungan ini menciptakan risiko bersama, ini juga memungkinkan upaya keamanan kolaboratif seperti inisiatif ZeroDayCloud yang disebutkan oleh para peneliti.
Organisasi yang menggunakan Redis tentu harus menerapkan patch yang tersedia, terutama untuk instance yang terekspos internet. Namun, diskusi komunitas menunjukkan bahwa praktik deployment yang tepat dan kontrol keamanan jaringan tetap lebih penting daripada terburu-buru mengatasi setiap kerentanan dengan skor CVSS sempurna. Pelajaran sebenarnya mungkin tentang meningkatkan konfigurasi default dan panduan deployment daripada memperlakukan setiap kerentanan dengan skor tinggi sebagai ancaman apokaliptik.
Referensi: RediShell: Critical Remote Code Execution Vulnerability (CVE-2025-49844) in Redis, 10 CVSS score