Ciberseguridad 360 | La herramienta de explotación Apache Parquet detecta servidores vulnerables a una falla crítica

Se ha publicado una herramienta de explotaci�n de prueba de concepto para una vulnerabilidad de m�xima gravedad de Apache Parquet, identificada como CVE-2025-30065, lo que facilita la b�squeda de servidores vulnerables.

La herramienta fue lanzada por investigadores de F5 Labs que investigaron la vulnerabilidad despu�s de descubrir que varias PoC existentes eran d�biles o completamente no funcionales.

La herramienta sirve como prueba de la explotabilidad pr�ctica de CVE-2025-30065 y tambi�n puede ayudar a los administradores a evaluar sus entornos y servidores seguros.

Apache Parquet es un formato de almacenamiento en columnas de c�digo abierto dise�ado para un procesamiento eficiente de datos, ampliamente utilizado por plataformas de big data y organizaciones dedicadas a la ingenier�a y el an�lisis de datos.

La falla se divulg� por primera vez el 1 de abril de 2025, tras un descubrimiento previo del investigador de Amazon Keyi Li. Se categoriz� como una ejecuci�n remota de c�digo que afect� a todas las versiones de Apache Parquet hasta la 1.15.0 inclusive.

Desde una perspectiva t�cnica, CVE-2025-30065 es una falla de deserializaci�n en el m�dulo parquet-avro de Apache Parquet Java, donde la biblioteca no puede restringir qu� clases Java se pueden instanciar al leer datos de Avro incrustados en archivos Parquet.

El 2 de abril de 2025, Endor Labs public� un art�culo advirtiendo sobre el riesgo de explotaci�n y su posible impacto en los sistemas que importan archivos Parquet desde puntos externos.

Un an�lisis posterior realizado por F5 Labs muestra que la falla no es un RCE de deserializaci�n completa, pero a�n as� puede usarse incorrectamente si una clase tiene efectos secundarios durante la instanciaci�n, como al realizar una solicitud de red desde el sistema vulnerable a un servidor controlado por el atacante.

Sin embargo, los investigadores concluyeron que la explotaci�n pr�ctica es dif�cil y CVE-2025-30065 tiene un valor limitado para los atacantes.

"Si bien Parquet y Avro se utilizan ampliamente, este problema requiere un conjunto espec�fico de circunstancias que no son tan probables en general", se lee en el informe de F5 Labs .

Aun as�, este CVE solo permite a los atacantes activar la instanciaci�n de un objeto Java, lo que debe tener un efecto secundario �til para el atacante.

A pesar de la baja probabilidad de explotaci�n, los investigadores admiten que algunas organizaciones procesan archivos Parquet de fuentes externas, a menudo no verificadas, y por lo tanto el riesgo es significativo en algunos entornos.

Por este motivo, F5 Labs cre� una herramienta de "exploit canario" ( disponible en GitHub ) que activa una solicitud HTTP GET a trav�s de la instanciaci�n de javax.swing.JEditorKit, lo que permite a los usuarios verificar la exposici�n.

Adem�s de usar la herramienta, se recomienda actualizar a Apache Parquet versi�n 15.1.1 o posterior y configurar 'org.apache.parquet.avro.SERIALIZABLE_PACKAGES' para restringir qu� paquetes pueden deserializarse.

Fuente: Bleepingcomputer.