原文链接: https://mp.weixin.qq.com/s?__biz=Mzg4NTg5MDQ0OA==&mid=2247488282&idx=1&sn=9c0d55fb7692c79b5d1e5045cd757f49

Redis 高危漏洞！HyperLogLog 竟成系统后门？(CVE-2025-32023)

原创 道玄安全 道玄网安驿站 2025-07-12 16:01

“
 redis。”

PS：有内网web自动化需求可以私信

01

—

导语

01 紧急警报！Redis 核心组件曝高危漏洞

所有 Redis 用户请注意！

数据库领域突发重磅安全事件——Redis 官方确认其 HyperLogLog 组件存在高危远程代码执行漏洞（CVE-2025-32023）。攻击者可利用此漏洞
完全接管服务器
。

该漏洞影响范围极大：
– ✅ 涉及 Redis 4.0 至 7.0 主流版本

• ✅ 云数据库服务（阿里云、AWS 等）均受影响

• ✅ 默认配置即可触发，无需特殊权限

• 影响产品：

1、 8.0.* <= Redis < 8.0.3

2、 7.4.* <= Redis < 7.4.5

3、 7.2.* <= Redis < 7.2.10

4、 2.8 <= Redis < 6.2.19

POC链接：

https://github.com/B1ack4sh/Blackash-CVE-2025-32023

• 某金融企业运维负责人向笔者透露：

“凌晨收到告警，攻击者通过 PFADD 命令注入恶意载荷，直接获取了服务器 root 权限。整个渗透过程不到 2 分钟。”

02 颠覆认知！概率数据结构竟成攻击入口

HyperLogLog 作为 Redis 的
基数统计利器
，本应是最安全的组件之一：

# 常规安全操作示例
import redis
r = redis.Redis()
r.pfadd("user_today", "user123")  # 看似无害的操作

漏洞核心在于内存破坏
：

当处理特定畸形 HyperLogLog 数据时，Redis 的底层稀疏编码实现会发生堆溢出。攻击者通过精心构造的 PFMERGE 命令，可植入恶意指令实现任意代码执行。

某安全实验室 PoC 显示：利用 12 次 PFADD 加 1 次 PFMERGE 即可完成攻击链构建。

03 紧急应对方案（附操作指南）

🚨 临时缓解措施（立即执行）

bash：

# 在 redis.conf 中添加：
rename-command PFADD ""
rename-command PFCOUNT ""
rename-command PFMERGE ""

注意
：禁用命令后需重启 Redis 生效，可能影响业务统计功能

04 深度防御：构建 Redis 安全体系

除紧急修复外，建议实施纵深防御：
1. 网络隔离
：将 Redis 部署在内网，禁止公网访问

1. 权限控制
   ：使用 

requirepass

+ 命名空间隔离

1. 运行时防护
   ：部署 RASP 工具监控异常命令执行

2. 审计加固
   ：启用 Redis 的 

--enable-protected-config

模式

📊 据历史数据统计：未修复的 Redis 漏洞服务器平均在 72 小时内会被僵尸网络扫描捕获。

05 漏洞启示录：没有绝对安全的组件

本次漏洞打破了两大技术迷思：
1. “只读操作无风险”
：基数统计这类只读操作竟成攻击入口

1. “概率数据结构安全”
   ：HyperLogLog 的数学特性被绕过

正如 Redis 创始人 Salvatore Sanfilippo 在补丁说明中强调：

“
安全是持续过程，任何组件都可能存在未知风险。
 建议用户始终开启最小权限原则。”

现在行动清单
：
1. ✅ 检查 Redis 版本

1. ✅ 立即配置命令禁用或升级

2. ✅ 扫描服务器是否存在异常 PF* 操作

3. ✅ 订阅官方安全通告渠道

技术没有银弹，安全永无止境。保持警惕，方能在数字战场立于不败之地。

最新动态
：部分攻击者开始利用该漏洞植入加密货币挖矿程序，CPU 占用率异常升高是典型征兆。建议立即排查服务器资源使用情况！

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。