Kritische Sicherheitslücke in Apache Parquet ermöglicht Angriffe aus der Ferne
In der Java-Bibliothek von Apache Parquet wurde eine schwerwiegende Sicherheitslücke entdeckt. Angreifer könnten sie aus der Ferne ausnutzen, um Schadcode auf betroffenen Systemen auszuführen – und so die vollständige Kontrolle übernehmen.
Apache Parquet ist ein kostenloses, quelloffenes Dateiformat für spaltenbasierte Daten. Es wurde entwickelt, um komplexe Daten effizient zu speichern und schnell abrufen zu können – mit Unterstützung für leistungsstarke Komprimierung und Codierung. Die erste Version erschien im Jahr 2013.
Die jetzt entdeckte Schwachstelle trägt die Kennung CVE-2025-30065 und wurde mit dem höchstmöglichen Schweregrad CVSS 10.0 eingestuft. Sie betrifft alle Versionen bis einschließlich 1.15.0.
Laut einem Sicherheitshinweis der Projektverantwortlichen liegt das Problem in der Art und Weise, wie das Modul parquet-avro Schemadaten verarbeitet. Angreifer könnten dadurch Schadcode einschleusen und ausführen lassen.
Nach Angaben von Endor Labs muss dafür lediglich eine manipulierte Parquet-Datei von einem betroffenen System eingelesen werden. Besonders gefährdet sind Datenpipelines und Analyseplattformen, die Parquet-Dateien aus externen oder unbekannten Quellen importieren. Wenn Angreifer diese Dateien verändern können, lässt sich die Schwachstelle ausnutzen.
Das Problem wurde mit der Veröffentlichung von Version 1.15.1 behoben. Entdeckt und gemeldet wurde die Sicherheitslücke von Keyi Li bei Amazon.
Angriffe auf Apache-Systeme nehmen zu – auch Tomcat-Server betroffen
Zwar gibt es bislang keine Hinweise darauf, dass die jetzt entdeckte Sicherheitslücke in Apache Parquet bereits aktiv ausgenutzt wurde – dennoch zeigen vergangene Vorfälle, wie schnell Schwachstellen in Apache-Projekten ins Visier von Angreifern geraten. Cyberkriminelle nutzen solche Gelegenheiten oft, um Systeme zu kompromittieren und Schadsoftware einzuschleusen.
Ein aktuelles Beispiel: Nur 30 Stunden nach Veröffentlichung wurde im vergangenen Monat eine kritische Sicherheitslücke in Apache Tomcat (CVE-2025-24813, CVSS-Score: 9,8) bereits aktiv ausgenutzt.
Laut einer aktuellen Analyse des Cloud-Sicherheitsunternehmens Aqua läuft derzeit eine neue Angriffskampagne gegen Apache-Tomcat-Server. Dabei nutzen Angreifer schwache oder leicht zu erratende Zugangsdaten, um verschlüsselte Schadprogramme zu platzieren. Diese sind darauf ausgelegt, SSH-Zugangsdaten zu stehlen, sich im Netzwerk weiterzubewegen und letztlich die Systemressourcen für Kryptomining zu kapern.
Die Schadsoftware ist zudem in der Lage, sich dauerhaft im System einzunisten und als Java-basierte Webshell zu dienen, über die Angreifer beliebigen Java-Code ausführen können. „Das Skript prüft auch, ob der Benutzer Root-Rechte besitzt“, erklärt Assaf Morag, Leiter der Bedrohungsanalyse bei Aqua. „Wenn ja, werden zusätzliche Funktionen aktiviert, welche die CPU-Auslastung für effizienteres Mining optimieren.“
Die Kampagne betrifft sowohl Windows- als auch Linux-Systeme. Hinweise im Quellcode – darunter Kommentare auf Chinesisch – deuten darauf hin, dass die Angriffe vermutlich von einer chinesischsprachigen Gruppe durchgeführt werden.