„Concept“ įrodymo išnaudojimo įrankis buvo viešai išleistas siekiant maksimalaus „Apache“ parketo pažeidžiamumo, stebimo kaip CVE-2025-30065, todėl lengva rasti pažeidžiamus serverius.
Įranką išleido „F5 LabS“ tyrėjai, kurie ištyrė pažeidžiamumą, sužinoję, kad keli esami POC yra silpni arba visiškai nefunkciniai.
Šis įrankis yra CVE-2025-30065 praktinio išnaudojimo įrodymas ir taip pat gali padėti administratoriams įvertinti savo aplinką ir saugius serverius.
„Apache Parquet“ yra atvirojo kodo, stulpelių saugojimo formatas, skirtas efektyviam duomenų apdorojimui, plačiai naudojamas „Big Data“ platformų ir organizacijų, užsiimančių duomenų inžinerija ir analize.
Pirmiausia trūkumas buvo atskleistas 2025 m. Balandžio 1 d., Po ankstesnio „Amazon“ tyrėjo Keyi Li atradimo. Jis buvo suskirstytas į nuotolinio kodo vykdymą, darantį įtaką visoms „Apache Parquet“ versijoms iki 1.15.0.
Žvelgiant iš techninės perspektyvos, CVE-2025-30065 yra „Apache Parquet Java“ parketo-avro modulio deserializacijos trūkumas, kur biblioteka nesugeba apriboti, kurias „Java“ klases galima įgyvendinti skaitant AVRO duomenis, įterptus į parketo failus.
2025 m. Balandžio 2 d. „Endor Labs“ paskelbė įspėjimą apie rašymo įspėjimą apie išnaudojimo riziką ir galimą poveikį sistemoms, kurios importuoja parketo failus iš išorinių taškų.
Vėlesnė „F5 Labs“ analizė rodo, kad trūkumas nėra visiškas deserializacijos RCE, tačiau vis tiek gali būti netinkamai naudojama, jei klasė turi šalutinį poveikį momentinio metu, pavyzdžiui, kai užpuoliko kontroliuojamo serverio pažeidžiamos tinklo užklausa.
Tačiau tyrėjai padarė išvadą, kad praktinis išnaudojimas yra sunkus, o CVE-2025-30065 užpuolikai turi ribotą vertę.
„Nors„ Parquet “ir„ Avro “naudojami plačiai, šiam numeriui reikalingas konkrečias aplinkybių rinkinys, kuris nėra toks, koks greičiausiai apskritai“, – rašoma „F5 Labs“ ataskaitoje.
„Net tada ši CVE leidžia tik užpuolikams suaktyvinti„ Java “objekto momentą, kuris tada turi turėti šalutinį poveikį, kuris yra naudingas užpuoliko.”
Nepaisant mažos išnaudojimo tikimybės, tyrėjai pripažįsta, kad kai kurios organizacijos apdoroja parketo failus iš išorinių, dažnai nepatikrintų šaltinių, todėl kai kuriose aplinkose rizika yra reikšminga.
Dėl šios priežasties „F5 Labs“ sukūrė įrankį „Kanary Exploit“ (galima rasti „GitHub“), kuris suaktyvina HTTP GET užklausą, įgyvendinant javax.swing.jeditorkit, leisdama vartotojams patikrinti ekspoziciją.
Be įrankio naudojimo, rekomenduojama atnaujinti į „Apache Parquet“ versiją 15.1.1.1 ar naujesnę versiją ir sukonfigūruoti 'org.apache.parquet.avro.serializable_packages', kad būtų galima apriboti, kurie pakuotės leidžiamos deserializuoti.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
