Luca Stivali : 5 Aprile 2025 08:30
Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet.
Si tratta di una vulnerabilità a massima gravità (CVSS v4 10.0) in Apache Parquet classificata come CVE-2025-30065, la quale minaccia seriamente la sicurezza degli ambienti big data, consentendo l’esecuzione di codice da remoto (RCE) su sistemi vulnerabili.
Apache Parquet è un formato di archiviazione dati orientato alle colonne gratuito e open source nell’ecosistema Apache Hadoop. È simile a RCFile e ORC, gli altri formati di file di archiviazione a colonne in Hadoop , ed è compatibile con la maggior parte dei framework di elaborazione dati attorno a Hadoop. Fornisce schemi di compressione e codifica dati efficienti con prestazioni migliorate per gestire dati complessi in blocco.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il problema riguarda tutte le versioni di Apache Parquet fino alla 1.15.0 inclusa. Un malintenzionato può creare un file Parquet appositamente manipolato e, se questo viene importato in un sistema vulnerabile, ottiene la possibilità di:
La vulnerabilità è stata scoperta da Keyi Li, ricercatore di Amazon, e divulgata responsabilmente il 1° aprile 2025. Il problema è stato risolto con il rilascio della versione Apache Parquet 1.15.1, che tutti gli utenti sono fortemente invitati ad installare immediatamente.
Parquet è uno standard de facto nel mondo della data engineering e analytics. È utilizzato da colossi come Netflix, Uber, Airbnb e LinkedIn, oltre che in ambienti Hadoop, AWS, Google Cloud, Azure, data lakes, pipeline ETL e sistemi di intelligenza artificiale.
Il formato columnar consente una gestione efficiente di grandi volumi di dati, ma proprio per la sua diffusione, una vulnerabilità in Parquet rappresenta una superficie d’attacco critica per l’intera filiera del dato.
“Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code”, si legge nel bollettino di sicurezza pubblicato su Openwall.
Fortunatamente, l’exploit richiede un’interazione utente: l’importazione di un file Parquet malevolo. Tuttavia, in ambienti dove i file vengono ricevuti da terze parti o fonti esterne (ad esempio in pipeline automatizzate), il rischio diventa molto più concreto.
Secondo Endor Labs, la vulnerabilità potrebbe risalire alla versione 1.8.0 di Parquet, rendendo necessaria una verifica approfondita degli stack in produzione per valutare l’esposizione.
Anche se non sono ancora stati rilevati exploit attivi, la combinazione di gravità tecnica (CVSS 10.0) e ampia adozione della tecnologia rende CVE-2025-30065 una delle vulnerabilità più critiche del 2025 per l’ambito big data.
Luca StivaliI ricercatori di VUSec hanno presentato un articolo intitolato “Training Solo”, che mette in discussione i principi fondamentali della protezione contro gli attacchi Spectre-v2. In precedenza si r...
La corsa alla supremazia quantistica si sta trasformando in una corsa alla sopravvivenza delle criptovalute. Se i computer quantistici raggiungeranno la potenza promessa, saranno in grado di violare l...
Il 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
