Alerta cibernético

Ferramenta testa falha crítica no Apache Parquet

Apache Parquet

Pesquisadores do F5 Labs desenvolveram uma nova ferramenta de código aberto que facilita a identificação de servidores vulneráveis à falha CVE-2025-30065, uma brecha crítica encontrada no Apache Parquet — formato amplamente usado em soluções de big data.

Nova ferramenta detecta falha grave em servidores que usam Apache Parquet

Imagem com a logomarca do Apache

A iniciativa surgiu após a análise de outras provas de conceito (PoCs) existentes, que se mostraram ineficazes ou instáveis. Diferente dessas, a ferramenta recém-lançada comprova a viabilidade prática da exploração da falha e pode ser utilizada por administradores para testar a segurança de seus próprios sistemas.

O que é o Apache Parquet?

Apache Parquet é um formato de armazenamento de dados colunar, open source, voltado para eficiência no processamento de grandes volumes de dados. Ele é comum em sistemas de engenharia e análise de dados de empresas que lidam com big data.

Detalhes da vulnerabilidade CVE-2025-30065

Relatada inicialmente em 1º de abril de 2025 por Keyi Li, pesquisador da Amazon, a falha afeta todas as versões do Apache Parquet até a 1.15.0. Ela está relacionada à desserialização insegura no módulo parquet-avro, permitindo que classes Java não autorizadas sejam instanciadas ao se ler arquivos Avro embutidos.

Embora tecnicamente não configure uma execução remota de código (RCE) tradicional, a falha pode ser explorada se determinadas classes causarem efeitos colaterais ao serem instanciadas — por exemplo, disparando uma requisição de rede para um servidor externo sob controle do invasor.

Risco moderado, mas real

Segundo a análise do F5 Labs, apesar de a exploração exigir uma cadeia de condições específicas, o risco não deve ser ignorado, especialmente em ambientes que processam arquivos de fontes externas sem validação adequada. Em tais contextos, a falha pode ser usada como vetor inicial de ataque.

“Embora não seja uma RCE completa, o risco aumenta quando há manipulação de arquivos Parquet sem controle”, afirmam os pesquisadores no relatório. A principal preocupação é com ambientes automatizados que lidam com dados de terceiros, algo comum em pipelines de dados modernos.

Como funciona a ferramenta de verificação?

A ferramenta disponibilizada no GitHub aciona a desserialização de uma classe específica — javax.swing.JEditorKit — para forçar uma requisição HTTP GET. Caso o sistema seja vulnerável, essa ação pode confirmar a exposição sem causar danos reais.

Medidas de mitigação recomendadas

Para se proteger, é altamente recomendável:

  • Atualizar o Apache Parquet para a versão 1.15.1 ou superior;
  • Configurar a propriedade org.apache.parquet.avro.SERIALIZABLE_PACKAGES para restringir pacotes permitidos durante a desserialização.

Essas medidas reduzem significativamente a superfície de ataque, mesmo em casos em que a validação de entrada não seja totalmente confiável.