🚨 F5 Labs, CVE-2025-30065 취약점 대응을 위한 PoC 도구 공개!

2025년 4월, 아파치 파켓(Apache Parquet) 라이브러리에서 발견된 심각한 보안 취약점(CVE-2025-30065)이
기업 IT 보안 커뮤니티에 큰 파장을 일으키고 있습니다.
이 취약점은 CVSS 10.0이라는 최고 심각도 점수를 받았으며, 특히 데이터 분석과 머신러닝,
빅데이터 환경에서 널리 사용되는 Java 기반 파켓-아브로(parquet-avro) 모듈에 존재합니다.

이번 아티클에서는 해당 취약점의 기술적 배경, 위협 시나리오, F5 Labs가 공개한 PoC 도구의 동작 방식,
그리고 조직이 취해야 할 대응 방안까지 총체적으로 정리해보겠습니다. 😷💻

---

🔍 취약점 상세: CVE-2025-30065란?

Apache Parquet은 효율적인 컬럼 기반 저장 포맷으로,
Spark, Hive, Presto, Flink 같은 빅데이터 처리 프레임워크에서 널리 사용됩니다.
문제의 핵심은 parquet-avro 모듈이 Avro 형식의 데이터를 역직렬화(deserialization)할 때
자바 클래스 인스턴스를 임의로 생성할 수 있도록 허용했다는 점입니다.

• 취약한 동작: 특정 문자열 파라미터를 통해 자바 클래스의 단일 문자열 생성자를 강제로 호출 가능
• 제한사항: 클래스는 classpath에 존재해야 하며, 단일 String 생성자만을 허용
• 가능한 악용: 예를 들어 javax.swing.JEditorKit("http://attacker.site")와 같이 생성하면,
  해당 인스턴스는 side effect로 외부 네트워크 요청을 발생시킬 수 있음

즉, 이 취약점은 완전한 원격 코드 실행(RCE)을 허용하지는 않지만,
사이드 이펙트를 유도하는 클래스가 존재할 경우 공격자는 해당 시스템에서 원치 않는 동작을 유발할 수 있습니다.

🧪 실제 공격 시나리오 예시:

• 공격자는 악의적으로 조작된 Parquet 파일을 빅데이터 파이프라인에 삽입
• Spark 클러스터에서 해당 파일을 읽는 순간 역직렬화 과정이 발생하고, 공격자 지정 클래스가 인스턴스화됨
• 해당 클래스가 외부 네트워크 요청, 파일 조작 등의 기능을 가지고 있다면 시스템 침해 가능

---

🛠️ F5 Labs의 PoC 도구: Canary Exploit

많은 조직들이 자체 시스템 내에 취약한 Parquet 버전이 존재하는지 여부조차 파악하기 어렵다는 문제에 직면했습니다.
이 문제를 해결하기 위해, F5 Labs는 안전하게 시스템의 취약 여부를 테스트할 수 있는
"Canary Exploit" 도구를 오픈소스로 제공하고 있습니다.

🔧 PoC 동작 원리:

1. JEditorKit 클래스는 단일 문자열(URL)을 인자로 받는 생성자를 보유
2. 이 URL을 http://example.com/test 로 지정하고, 해당 클래스를 호출하도록 Parquet 파일을 조작
3. 취약한 시스템에서는 역직렬화 중 JEditorKit 인스턴스를 생성하며, 외부로 HTTP 요청을 전송
4. 이를 통해 보안 팀은 네트워크 로깅만으로 취약 여부를 식별 가능

📦 PoC 구성 요소:

• 조작된 Avro/Parquet 파일 생성 스크립트
• 로컬 및 원격 HTTP 요청 캡처 도구 (ex. tcpdump, Burp Collaborator)
• GitHub 경로: https://github.com/f5labs/langflow-poc (예시)

---

📌 조직이 취해야 할 보안 조치

✅ 1. 패치 적용

• Langflow v1.3.0 이상으로 반드시 업그레이드
• 해당 버전에서는 /api/v1/validate/code에 인증 계층이 추가되어 공격 방지 가능

✅ 2. 인터넷 노출 차단

• Langflow 또는 기타 AI 기반 시스템을 외부에 직접 노출시키지 말 것
• 반드시 VPN, 인증 게이트웨이, WAF와 함께 구성할 것

✅ 3. 취약성 점검

• F5 Labs PoC 도구를 이용해 내부 파켓 기반 환경에서 취약 버전 존재 여부 점검
• 특히 Spark, Presto, Airflow, Jupyter 같은 플랫폼과 연동되는 Parquet 라이브러리 의존성 확인 필요

✅ 4. 보안 로깅 강화

• HTTP outbound 로그 모니터링: 의심스러운 자동 요청 트래픽 식별
• IDS/IPS 룰 업데이트: /api/v1/validate/code 접근 시도 탐지 룰 추가

✅ 5. 공급망 점검

• 파켓을 사용하는 외부 SaaS, BI 도구, 데이터베이스의 보안 공지 확인
• 예: Databricks, Snowflake, AWS Glue, Google BigQuery 등

---

🔚 마무리: 신뢰하지 말고 검증하라!

AI와 빅데이터 기술의 확산으로 인해 오픈소스 생태계에 대한 의존도는 점점 높아지고 있습니다.
CVE-2025-30065는 비교적 단순한 취약점처럼 보일 수 있으나,
데이터 파이프라인에 대한 신뢰의 기저를 흔들 수 있는 심각한 위협입니다.

F5 Labs의 도구처럼, 현장에서 활용 가능한 실질적인 대응책을 적극 활용하고,
체계적인 취약점 관리와 보안 업데이트 전략을 정비하는 것이야말로 현재 가장 필요한 보안 전략입니다.