พบการเผยแพร่เครื่องมือทดสอบการโจมตีช่องโหว่ระดับ Critical ใน Apache Parquet ออกสู่สาธารณะ ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-30065 โดยเครื่องมือสามารถทำให้ค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่ได้ง่ายขึ้น
เครื่องมือนี้ถูกเผยแพร่โดยนักวิจัยจาก F5 Labs ซึ่งได้ทำการวิเคราะห์ช่องโหว่ดังกล่าว หลังพบว่า PoC ที่มีอยู่ก่อนหน้านี้หลายรายการไม่สามารถใช้งานได้จริง หรือมีประสิทธิภาพต่ำ
เครื่องมือนี้ไม่เพียงแสดงให้เห็นว่าช่องโหว่ CVE-2025-30065 สามารถถูกใช้ในการโจมตีได้จริง แต่ยังช่วยให้ผู้ดูแลระบบประเมินสภาพแวดล้อม และรักษาความปลอดภัยของเซิร์ฟเวอร์ได้อีกด้วย
Apache Parquet เป็นโอเพ่นซอร์ส ของรูปแบบการจัดเก็บข้อมูลแบบคอลัมน์ ซึ่งออกแบบมาเพื่อประมวลผลข้อมูลอย่างมีประสิทธิภาพ และถูกใช้อย่างแพร่หลายโดยแพลตฟอร์ม Big Data รวมถึงองค์กรที่ดำเนินงานด้านวิศวกรรมข้อมูล และการวิเคราะห์ข้อมูล
ช่องโหว่นี้ถูกเปิดเผยครั้งแรกเมื่อวันที่ 1 เมษายน 2025 โดยอ้างอิงจากการค้นพบเบื้องต้นของ Keyi Li นักวิจัยจาก Amazon โดยถูกจัดประเภทเป็นช่องโหว่ Remote Code Execution ซึ่งส่งผลกระทบต่อ Apache Parquet ทุกเวอร์ชันจนถึงเวอร์ชัน 1.15.0
ในเชิงเทคนิค ช่องโหว่ CVE-2025-30065 เกิดจากช่องโหว่ในการทำ deserialization ภายในโมดูล parquet-avro ของ Apache Parquet Java โดยไลบรารีไม่สามารถจำกัดการสร้างอินสแตนซ์ของคลาส Java ได้ เมื่อมีการอ่านข้อมูล Avro ที่ฝังอยู่ในไฟล์ Parquet
เมื่อวันที่ 2 เมษายน 2025 ทาง Endor Labs ได้เผยแพร่บทวิเคราะห์แจ้งเตือนเกี่ยวกับความเสี่ยงในการถูกโจมตีผ่านช่องโหว่นี้ และผลกระทบที่อาจเกิดขึ้นกับระบบที่มีการนำเข้าไฟล์ Parquet จากแหล่งภายนอก
การวิเคราะห์เพิ่มเติมโดย F5 Labs พบว่า ช่องโหว่นี้ไม่ใช่การโจมตี RCE แบบ deserialization อย่างสมบูรณ์ แต่ยังสามารถถูกนำไปใช้ในทางที่ผิดได้ หากคลาสที่ถูกเรียกใช้งานมีผลข้างเคียง ระหว่างการสร้างอินสแตนซ์ เช่น การส่ง network request จากระบบที่มีช่องโหว่ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่
อย่างไรก็ตาม นักวิจัยสรุปว่าการใช้ประโยชน์จากช่องโหว่นี้ในทางปฏิบัตินั้นทำได้ยาก และ CVE-2025-30065 มีข้อจำกัดสำหรับผู้โจมตี
รายงานของ F5 Labs ระบุว่า “แม้ว่า Parquet และ Avro จะถูกใช้อย่างแพร่หลาย แต่ช่องโหว่นี้ต้องการสถานการณ์เฉพาะที่ไม่น่าจะเกิดขึ้นได้โดยทั่วไป”
“แม้ในกรณีที่เกิดขึ้น ช่องโหว่นี้จะอนุญาตให้ผู้โจมตีเรียกใช้การสร้างอินสแตนซ์ของ Java Object เท่านั้น ซึ่ง Object นั้นจะต้องมีผลข้างเคียงที่เป็นประโยชน์ต่อผู้โจมตีด้วย”
แม้ความเป็นไปได้ในการถูกโจมตีจะค่อนข้างต่ำ แต่นักวิจัยยอมรับว่า บางองค์กรมีการประมวลผลไฟล์ Parquet ที่ได้รับจากแหล่งภายนอกซึ่งมักไม่ผ่านการตรวจสอบ จึงทำให้ความเสี่ยงยังคงมีอยู่ในบางระบบ
ด้วยเหตุนี้ F5 Labs จึงได้สร้างเครื่องมือ “canary exploit” (เปิดให้ใช้งานบน GitHub) ซึ่งจะทำการเรียก HTTP GET โดยอาศัยการสร้างอินสแตนซ์ของคลาส javax.swing.JEditorKit เพื่อช่วยให้ผู้ใช้ตรวจสอบการเปิดเผยข้อมูลได้
นอกเหนือจากการใช้เครื่องมือนี้ ยังแนะนำให้ดำเนินการอัปเกรด Apache Parquet เป็นเวอร์ชัน 15.1.1 หรือใหม่กว่า และกำหนดค่า org.apache.parquet.avro.SERIALIZABLE_PACKAGES เพื่อจำกัดแพ็กเกจที่สามารถถูก deserialized ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.