Kavram kanıtı, CVE-2025-30065 olarak izlenen ve savunmasız sunucular bulmayı kolaylaştıran maksimum önem Apache Parket güvenlik açığı için kamuya açık bir şekilde yayınlanmıştır.
Araç, mevcut birden fazla POC’nin zayıf veya tamamen işlevsel olmadığını tespit ettikten sonra güvenlik açığını araştıran F5 Labs araştırmacıları tarafından yayınlandı.
Araç, CVE-2025-30065’in pratik sömürülebilirliğinin kanıtı olarak hizmet eder ve yöneticilerin ortamlarını değerlendirmelerine ve sunucuları güvenli hale getirmelerine yardımcı olabilir.
Apache Parket, verimli veri işleme için tasarlanmış, büyük veri platformları ve veri mühendisliği ve analitiklerle uğraşan kuruluşlar tarafından yaygın olarak kullanılan açık kaynaklı, sütunlu bir depolama formatıdır.
Kusur ilk olarak Amazon araştırmacısı Keyi Li’nin daha önceki bir keşfinin ardından 1 Nisan 2025’te açıklandı. 1.15.0’a kadar Apache Parket’in tüm sürümlerini etkileyen bir uzaktan kod yürütme olarak kategorize edildi.
Teknik açıdan bakıldığında, CVE-2025-30065, Kütüphanenin parquet dosyalarına gömülü avro verilerini okurken hangi java sınıflarının somutlaştırılabileceğini kısıtlayamadığı Apache Parket Java’nın parquet-avro modülünde bir farelleştirme kusurudur.
2 Nisan 2025’te Endor Labs, sömürü riski ve parquet dosyalarını harici noktalardan içe aktaran sistemler üzerindeki potansiyel etkisi hakkında bir yazma uyarısı yayınladı.
F5 laboratuvarlarının müteakip analizi, kusurun tam bir farelleştirme RCE olmadığını, ancak bir sınıfın, savunmasız sistemden saldırgan kontrollü bir sunucuya bir ağ isteği yaparken olduğu gibi, bir sınıfın somutlaştırma sırasında yan etkileri varsa kötüye kullanılabileceğini gösterir.
Bununla birlikte, araştırmacılar pratik sömürünün zor olduğu ve CVE-2025-30065’in saldırganlara sınırlı bir değeri olduğu sonucuna varmışlardır.
F5 Labs raporunu, “Parke ve Avro yaygın olarak kullanılırken, bu sorun genel olarak olası olmayan belirli bir koşullar gerektiriyor.”
“O zaman bile, bu CVE sadece saldırganların bir Java nesnesinin somutlaştırılmasını tetiklemesine izin verir, bu da saldırgan için yararlı bir yan etkiye sahip olmalıdır.”
Sömürme olasılığına düşük olmasına rağmen, araştırmacılar bazı kuruluşların harici, genellikle doğrulanmamış kaynaklardan gelen parka dosyalarını işlediğini ve bu nedenle riskin bazı ortamlarda önemli olduğunu kabul ediyorlar.
Bu nedenle, F5 Labs, Javax.swing.jeditorkit’in somutlaştırılması yoluyla bir HTTP GET isteğini tetikleyen ve kullanıcıların pozlamayı doğrulamasına izin veren bir “Kanarya İstismar” aracı (GitHub’da mevcuttur) oluşturdu.
Aracı kullanmanın yanı sıra, Apache Parket sürüm 15.1.1 veya üstüne yükseltilmesi ve hangi paketlerin sazerleştirme için izin verildiğini kısıtlamak için ‘org.apache.parquet.serializable_packages’ ‘yı yapılandırmanız önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.