-
09/04/2020
-
95
-
778 bài viết
Cảnh báo lỗ hổng RCE trong Apache Parquet - Đã có công cụ kiểm tra khai thác
Chỉ trong vòng một tuần, Apache Parquet liên tiếp ghi nhận hai lỗ hổng bảo mật nghiêm trọng, làm dấy lên lo ngại về an toàn dữ liệu trên các hệ thống xử lý lớn. Mới nhất là lỗ hổng CVE-2025-30065, hiện đã có mã khai thác (PoC) khiến các máy chủ sử dụng định dạng lưu trữ dữ liệu này đứng trước nguy cơ bị tấn công từ xa.
Lỗ hổng CVE-2025-30065 ảnh hưởng đến mô-đun parquet-avro trong Apache Parquet (Java) - một thư viện mã nguồn mở dùng để đọc và ghi dữ liệu dưới định dạng Parquet (định dạng lưu trữ dạng cột - columnar storage format) được tối ưu hóa cho các hệ thống xử lý dữ liệu lớn như Apache Hadoop, Apache Spark, Presto,...
Về mặt kỹ thuật, CVE-2025-30065 là một lỗ hổng deserialization trong mô-đun parquet-avro của Apache Parquet. Khi hệ thống đọc dữ liệu Avro nhúng trong tệp Parquet, nó không giới hạn các lớp Java có thể được khởi tạo. Điều này cho phép hacker chèn các lớp có "tác dụng phụ", chẳng hạn như tự động gửi yêu cầu HTTP để thực hiện hành vi độc hại mà không cần thực thi mã trực tiếp.
Mặc dù lỗ hổng CVE-2025-30065 không cho phép thực thi mã từ xa (RCE) theo cách trực tiếp như các lỗ hổng truyền thống, nhưng trong những hệ thống xử lý tệp Parquet từ các nguồn không xác thực hoặc không kiểm soát chặt chẽ, hacker vẫn có thể khai thác để gây ra hành vi ngoài ý muốn, tiềm ẩn rủi ro bảo mật nghiêm trọng.
Để giảm thiểu rủi ro bảo mật, chuyên gia khuyến cáo:
Lỗ hổng CVE-2025-30065 ảnh hưởng đến mô-đun parquet-avro trong Apache Parquet (Java) - một thư viện mã nguồn mở dùng để đọc và ghi dữ liệu dưới định dạng Parquet (định dạng lưu trữ dạng cột - columnar storage format) được tối ưu hóa cho các hệ thống xử lý dữ liệu lớn như Apache Hadoop, Apache Spark, Presto,...
Về mặt kỹ thuật, CVE-2025-30065 là một lỗ hổng deserialization trong mô-đun parquet-avro của Apache Parquet. Khi hệ thống đọc dữ liệu Avro nhúng trong tệp Parquet, nó không giới hạn các lớp Java có thể được khởi tạo. Điều này cho phép hacker chèn các lớp có "tác dụng phụ", chẳng hạn như tự động gửi yêu cầu HTTP để thực hiện hành vi độc hại mà không cần thực thi mã trực tiếp.
Xuất hiện công cụ kiểm tra khai thác
Một nhóm chuyên gia bảo mật đã phát hành công cụ "canary exploit" trên GitHub, có thể kích hoạt yêu cầu HTTP thông qua lớp javax.swing.JEditorKit, giúp quản trị viên kiểm tra xem hệ thống có bị ảnh hưởng hay không.Mặc dù lỗ hổng CVE-2025-30065 không cho phép thực thi mã từ xa (RCE) theo cách trực tiếp như các lỗ hổng truyền thống, nhưng trong những hệ thống xử lý tệp Parquet từ các nguồn không xác thực hoặc không kiểm soát chặt chẽ, hacker vẫn có thể khai thác để gây ra hành vi ngoài ý muốn, tiềm ẩn rủi ro bảo mật nghiêm trọng.
Để giảm thiểu rủi ro bảo mật, chuyên gia khuyến cáo:
- Cập nhật ngay lên phiên bản Apache Parquet 15.1.1 hoặc mới hơn.
- Cấu hình thuộc tính org.apache.parquet.avro.SERIALIZABLE_PACKAGES để giới hạn các package được phép deserialization.
- Kiểm tra kỹ các hệ thống đang xử lý dữ liệu Parquet từ bên ngoài hoặc đối tác thứ ba.
Theo Bleeping Computer
Chỉnh sửa lần cuối: