Redis’dagi xavfli zaifliklar masofaviy kod bajarilishi va serverlarning to‘liq komprometatsiya qilinishiga sabab bo‘lishi mumkin

Kiberxavfsizlik sohasida yana bir jiddiy ogohlantirish yangradi. Dunyo bo‘ylab millionlab serverlar va zamonaviy veb-ilovalarda qo‘llaniladigan mashhur ma’lumotlar bazasi texnologiyasi — Redis’da bir nechta xavfli zaifliklar aniqlangani ma’lum qilindi. Mutaxassislarning ta’kidlashicha, ushbu zaifliklar muvaffaqiyatli ekspluatatsiya qilingan taqdirda masofadan turib kod bajarish (Remote Code Execution — RCE), tizimni to‘liq egallab olish, ma’lumotlarni o‘g‘irlash hamda xizmat faoliyatini izdan chiqarish kabi og‘ir oqibatlarga olib kelishi mumkin.

2026-yil 5-may kuni e’lon qilingan xavfsizlik maslahatnomasida jami beshta zaiflik haqida so‘z yuritilgan bo‘lib, ulardan to‘rttasi “High” — yuqori xavfli, bittasi esa “Medium” — o‘rta xavfli darajada baholangan. Eng muhimi, ushbu muammolar Redis Cloud, Redis Software va barcha ochiq kodli Redis Community Edition (CE) hamda Redis OSS versiyalariga ta’sir ko‘rsatadi.

Redis nima va nega u muhim?

Redis — bu yuqori tezlikda ishlovchi, xotirada (in-memory) ishlaydigan ma’lumotlar bazasi hamda kesh tizimi hisoblanadi. U:

  • ijtimoiy tarmoqlar,
  • bank tizimlari,
  • elektron tijorat platformalari,
  • real vaqtli chat xizmatlari,
  • bulut infratuzilmalari,
  • sun’iy intellekt va analitika tizimlari

kabi ko‘plab zamonaviy servislarning ajralmas qismiga aylangan.

Redis’ning asosiy afzalligi — tezkor ishlashi va yuqori unumdorligidir. Ammo aynan keng qo‘llanilishi uni kiberjinoyatchilar uchun jozibador nishonga aylantirmoqda.

Aniqlangan zaifliklarning mohiyati

Mutaxassislar aniqlagan zaifliklarning barchasi autentifikatsiyadan o‘tgan foydalanuvchi orqali ekspluatatsiya qilinadi. Ya’ni hujumchi ma’lum darajada tizimga kirish imkoniga ega bo‘lishi kerak. Biroq bu holat xavfni kamaytirmaydi. Chunki zaifliklardan foydalanish orqali:

  • Redis serverida ixtiyoriy kod bajarish,
  • tizim xotirasini buzish,
  • server ustidan to‘liq nazorat o‘rnatish,
  • ma’lumotlarni sizdirish,
  • xizmatni ishdan chiqarish

imkoniyati paydo bo‘ladi.

CVE-2026-23479 — “Use-After-Free” zaifligi

Eng xavfli zaifliklardan biri CVE-2026-23479 bo‘lib, u “use-after-free” turiga mansub.

Mazkur zaiflik bloklangan mijoz (blocked client) qayta ishlanayotgan vaqtda xotira obyektlari noto‘g‘ri boshqarilishi sabab yuzaga keladi. Dastur bo‘shatilgan xotira bilan ishlashda davom etadi va hujumchi aynan shu jarayondan foydalanib masofadan kod bajarishi mumkin.

Bunday turdagi xatolar odatda juda xavfli hisoblanadi. Chunki ular:

  • xotira manipulyatsiyasi,
  • dastur oqimini o‘zgartirish,
  • shell ochish,
  • serverni egallash

kabi imkoniyatlarni yaratadi.

RESTORE buyrug‘i bilan bog‘liq xavfli nuqsonlar

Redis’dagi bir nechta zaifliklar aynan RESTORE buyrug‘i bilan bog‘liq ekani aniqlangan.

CVE-2026-25243

Hujumchi maxsus tayyorlangan serializatsiya qilingan ma’lumot yuborish orqali noto‘g‘ri xotira murojaatini yuzaga keltirishi mumkin.

Natijada:

  • xotira buzilishi,
  • server ishdan chiqishi,
  • ixtiyoriy kod bajarilishi

sodir bo‘lish ehtimoli mavjud.

Tadqiqotchilar ushbu zaiflikning bir nechta shakllarini aniqladi. Jumladan:

  • double-free,
  • integer overflow,
  • out-of-bounds read

kabi muammolar qayd etilgan.

RedisTimeSeries va RedisBloom modullaridagi RCE zaifliklari

Redis’ning qo‘shimcha modullari ham xavfdan chetda qolmadi.

CVE-2026-25588

Ushbu zaiflik RedisTimeSeries moduliga taalluqli bo‘lib, zararli serializatsiya qilingan ma’lumot yordamida xotira buzilishiga olib keladi.

CVE-2026-25589

RedisBloom modulida aniqlangan ushbu zaiflik esa:

  • heap buffer overflow,
  • integer overflow,
  • out-of-bounds read/write

kabi bir nechta xotira nuqsonlarini o‘z ichiga oladi.

Har ikki holatda ham hujumchi masofadan kod bajarish darajasiga chiqishi mumkin.

Lua skriptlash tizimidagi zaiflik

CVE-2026-23631 nomi bilan qayd etilgan yana bir zaiflik Redis’dagi Lua skriptlash mexanizmiga taalluqli.

Redis’da Lua skriptlari ko‘pincha murakkab operatsiyalarni atomar tarzda bajarish uchun ishlatiladi. Ammo master-replika sinxronizatsiyasi jarayonida xotira obyektlarining noto‘g‘ri boshqarilishi “use-after-free” holatini yuzaga keltirishi mumkin.

Ushbu zaiflik ayniqsa:

  • replica-read-only o‘chirilgan,
  • Lua scripting yoqilgan

serverlarda xavf tug‘diradi.

Redis Cloud foydalanuvchilari himoyalangan

Redis kompaniyasi ma’lum qilishicha, Redis Cloud infratuzilmasidagi barcha tizimlar allaqachon yamalgan va mijozlardan qo‘shimcha harakat talab qilinmaydi.

Ammo o‘z serverlarini mustaqil boshqarayotgan tashkilotlar uchun vaziyat jiddiy hisoblanadi.

Yangilanishi kerak bo‘lgan versiyalar

Mutaxassislar quyidagi versiyalargacha zudlik bilan yangilashni tavsiya qilmoqda:

Redis OSS / Community Edition

  • 6.2.22
  • 7.2.14
  • 7.4.9
  • 8.2.6
  • 8.4.3
  • 8.6.3

RedisTimeSeries

  • 1.12.14
  • 1.10.24
  • 1.8.23

RedisBloom

  • 2.8.20
  • 2.6.28
  • 2.4.23

Hozircha faol ekspluatatsiya aniqlanmagan

Redis mutaxassislari hozircha ushbu zaifliklardan real hujumlarda foydalanilganiga oid dalillar topilmaganini ma’lum qildi. Biroq amaliyot shuni ko‘rsatadiki, ommaga oshkor qilingan RCE zaifliklari odatda qisqa vaqt ichida kiberjinoyatchilar tomonidan faol ekspluatatsiya qilina boshlaydi.

Ayniqsa Redis kabi internetga noto‘g‘ri ochib qo‘yilgan serverlar:

  • botnetlar,
  • kriptovalyuta maynerlari,
  • ransomware guruhlari,
  • ma’lumot o‘g‘rilovchi zararli dasturlar

uchun tez-tez nishonga aylanadi.

Redis serverini qanday himoyalash mumkin?

Mutaxassislar bir nechta muhim xavfsizlik choralarini tavsiya qilmoqda.

1. Zudlik bilan yangilash

Eng muhim qadam — serverlarni eng so‘nggi xavfsiz versiyaga yangilash.

2. Internetdan to‘g‘ridan-to‘g‘ri foydalanishni cheklash

Redis serverlarini ochiq internetga ulash tavsiya etilmaydi. Faqat ishonchli IP manzillarga ruxsat berish kerak.

3. Kuchli autentifikatsiya

Parolsiz Redis serverlari eng katta xavflardan biridir. Kuchli autentifikatsiya hamda ACL siyosatlarini qo‘llash zarur.

4. “Protected Mode” funksiyasini yoqish

Redis’ning “protected-mode” imkoniyati serverni noto‘g‘ri tashqi ulanishlardan himoya qiladi.

5. Minimal huquqlar tamoyili

Foydalanuvchilarga faqat zarur bo‘lgan buyruqlargina berilishi kerak. Xavfli buyruqlarni imkon qadar cheklash tavsiya etiladi.

Hujum alomatlari qanday bo‘lishi mumkin?

Administratorlar quyidagi holatlarga e’tibor qaratishi lozim:

  • noma’lum IP manzillardan ulanishlar,
  • tushunarsiz server qulashlari,
  • Lua stack trace xatolari,
  • redis-server foydalanuvchisi orqali noodatiy buyruqlar bajarilishi,
  • konfiguratsiya fayllarining o‘zgarishi,
  • noma’lum persistent fayllar paydo bo‘lishi.

Ochiq kodli infratuzilmalar xavfsizligi tobora muhimlashmoqda

Mazkur voqea yana bir muhim haqiqatni ko‘rsatdi: zamonaviy internet infratuzilmasining katta qismi ochiq kodli loyihalarga tayanadi. Redis singari texnologiyalar millionlab tizimlarning yuragi hisoblanadi.

Shu sababli bitta zaiflik:

  • bulut servislariga,
  • moliyaviy platformalarga,
  • davlat tizimlariga,
  • IoT qurilmalariga

keng miqyosda ta’sir ko‘rsatishi mumkin.

Redis’da aniqlangan yangi RCE zaifliklari zamonaviy server infratuzilmalarining naqadar murakkab va nozik ekanini yana bir bor namoyish etdi. Ayniqsa xotira bilan bog‘liq “use-after-free”, “heap overflow” va “integer overflow” turidagi nuqsonlar tajovuzkorlar uchun juda xavfli imkoniyatlar yaratadi.

Hozircha faol ekspluatatsiya qayd etilmagan bo‘lsa-da, barcha tashkilotlar va tizim administratorlari serverlarni imkon qadar tezroq yangilashi, tarmoq cheklovlarini kuchaytirishi hamda Redis xavfsizlik siyosatini qayta ko‘rib chiqishi zarur.

Chunki zamonaviy kiberxavfsizlik muhitida kechiktirilgan birgina yangilanish ham katta talafotlarga sabab bo‘lishi mumkin.