Ferramenta detecta servidores Apache vulneráveis

Ferramenta detecta servidores Apache vulneráveis. Ferramenta de exploração do Apache Parquet detecta servidores vulneráveis ​​a falhas críticas

Uma ferramenta de exploração de prova de conceito foi lançada publicamente para uma vulnerabilidade de gravidade máxima do Apache Parquet, rastreada como CVE-2025-30065, facilitando a localização de servidores vulneráveis.

A ferramenta foi lançada por pesquisadores do F5 Labs que investigaram a vulnerabilidade depois de descobrir que vários PoCs existentes eram fracos ou completamente não funcionais.

A ferramenta serve como prova da explorabilidade prática do CVE-2025-30065 e também pode ajudar os administradores a avaliar seus ambientes e servidores seguros.

O Apache Parquet é um formato de armazenamento em colunas de código aberto projetado para processamento eficiente de dados, amplamente utilizado por plataformas de big data e organizações envolvidas em engenharia e análise de dados.

A falha foi divulgada pela primeira vez em 1º de abril de 2025, após uma descoberta anterior do pesquisador da Amazon, Keyi Li. Foi categorizada como execução remota de código, afetando todas as versões do Apache Parquet até a 1.15.0, inclusive.

De uma perspectiva técnica, CVE-2025-30065 é uma falha de desserialização no módulo parquet-avro do Apache Parquet Java, onde a biblioteca falha em restringir quais classes Java podem ser instanciadas ao ler dados Avro incorporados em arquivos Parquet.

Em 2 de abril de 2025, a Endor Labs publicou um alerta sobre o risco de exploração e seu potencial impacto em sistemas que importam arquivos Parquet de pontos externos.

Análises subsequentes feitas pelo F5 Labs mostram que a falha não é uma RCE de desserialização completa, mas ainda pode ser mal utilizada se uma classe tiver efeitos colaterais durante a instanciação, como ao fazer uma solicitação de rede do sistema vulnerável para um servidor controlado pelo invasor.

No entanto, os pesquisadores concluíram que a exploração prática é difícil e o CVE-2025-30065 tem valor limitado para invasores.

“Embora Parquet e Avro sejam amplamente utilizados, esse problema requer um conjunto específico de circunstâncias que não são tão prováveis ​​em geral”, diz o relatório do F5 Labs .

“Mesmo assim, esse CVE só permite que invasores acionem a instanciação de um objeto Java, o que deve ter um efeito colateral útil para o invasor.”

Apesar da baixa probabilidade de exploração, os pesquisadores admitem que algumas organizações processam arquivos Parquet de fontes externas, muitas vezes não verificadas, e, portanto, o risco é significativo em alguns ambientes.

Por esse motivo, o F5 Labs criou uma ferramenta “canary exploit” ( disponível no GitHub ) que aciona uma solicitação HTTP GET por meio da instanciação de javax.swing.JEditorKit, permitindo que os usuários verifiquem a exposição.

Além de usar a ferramenta, é recomendável atualizar para o Apache Parquet versão 15.1.1 ou posterior e configurar ‘org.apache.parquet.avro.SERIALIZABLE_PACKAGES’ para restringir quais pacotes são permitidos para desserialização.

Fonte: BleepingComputer

Veja também:

• Por que é hora de dizer adeus às senhas?
• Confie em você. Mas confirme com o MFA
• Hotpatching do Windows Server exigirá assinatura
• Microsoft anuncia Passwordless como padrão
• Avaliando soluções de Attack Surface Management (ASM) com GigaOm
• Controlando incidentes cibernéticos na área da saúde
• Cibercriminosos exploram morte do Papa Francisco
• Ciberataques a infraestruturas críticas e suas consequências
• Azael e a banalização dos ataques DDoS
• Novo framework de segurança traz benefícios para ambientes OT
• 45% dos brasileiros relatam sofrer ataques cibernéticos
• Falha no WhatsApp permite invasão por meio de imagens falsas