Canary Exploit工具可检测受Apache Parquet漏洞影响的服务器

鹏鹏同学 黑猫安全 2025-05-08 01:40

一、漏洞威胁通报
F5实验室已发布针对Apache Parquet Java库高危漏洞（CVE-2025-30065，CVSS 10.0）的概念验证利用工具”Canary Exploit”。该工具可通过GitHub仓库获取，用于检测存在漏洞的服务器。此次漏洞影响Parquet 1.15.0及更早版本，根源可追溯至1.8.0版本，主要威胁场景包括：
1. 远程代码执行（RCE）风险

1. 大数据框架（Hadoop/Spark/Flink）供应链污染

2. 恶意Parquet文件导致的权限沦陷

二、技术影响分析
1. 漏洞本质：Parquet-Avro模块在模式解析时存在不可信数据反序列化缺陷

1. 攻击路径：

2. 攻击者构造特制Parquet文件

3. 诱骗目标系统解析该文件

4. 触发javax.swing.JEditorKit对象实例化

5. 通过URL参数发起隐蔽网络请求

6. 潜在危害：
   √ 系统完全控制（命令执行）
   √ 数据窃取/篡改
   √ 恶意软件植入
   √ 服务中断（DoS）

三、防护应对措施
1. 紧急处置方案：

1. 升级至Parquet Java 1.15.1+版本

2. 对不可信来源Parquet文件实施沙箱检测

3. 纵深防御建议：

4. 在网络边界过滤异常Parquet文件

5. 启用JVM安全管理器限制敏感操作

6. 部署行为监控检测异常HTTP请求

7. 威胁狩猎指引：

8. 使用F5提供的”金丝雀URL”检测技术

9. 监控javax.swing异常实例化日志