La compañía de seguridad en la aglomeración Wiz ha revelado que descubrió la explotación en el buque de seguridad de un defecto de seguridad en una utilidad de Linux convocatoria Pandoc Como parte de los ataques diseñados para infiltrarse en el servicio de metadatos de instancia (IMD) de Amazon Web Services (AWS).
La vulnerabilidad en cuestión es CVE-2025-51591 (Puntuación CVSS: 6.5), que se refiere a un caso de falsificación de solicitud del banda del servidor (SSRF) que permite a los atacantes comprometer un sistema objetivo inyectando un tipo HTML IFRAME especialmente diseñado.
El EC2 IMD es un componente crucial del entorno de la aglomeración de AWS, que ofrece información sobre las instancias de ejecución, así como las credenciales temporales de corta duración si un rol de dirección de identidad y paso (IAM) está asociado con la instancia. Se puede penetrar a los metadatos de instancia a cualquier aplicación que se ejecute en una instancia EC2 a través de una dirección locorregional de enlace (169.254.169 (.) 254).
Estas credenciales se pueden usar para interactuar de forma segura con otros servicios de AWS como S3, RDS o DynamodB, lo que permite que las aplicaciones se autenticen sin la pobreza de acumular credenciales en la máquina, reduciendo así el aventura de exposición accidental.
Uno de los métodos comunes que los atacantes pueden usar para robar las credenciales de IAM de IMD es a través de fallas SSRF en aplicaciones web. Esto esencialmente implica engañar a la aplicación que se ejecuta en una instancia de EC2 para mandar una solicitud que busque credenciales de IAM del servicio IMDS en su nombre.
“Si la aplicación puede alcanzar el punto final de IMD y es susceptible a SSRF, el atacante puede cosechar credenciales temporales sin pobreza de paso directo al huésped (como RCE o traversal de ruta)”, dijeron los investigadores de Wiz Hila Ramati y Gili Tikochinski.
Por lo tanto, un adversario que exploración apuntar a la infraestructura de AWS puede averiguar vulnerabilidades de SSRF en aplicaciones web que se ejecutan en instancias de EC2 y, cuando se encuentran, penetrar a los metadatos de instancia y robar credenciales de IAM. Esta no es una amenaza teórica.
Hasta donde a principios de 2022, Mandiant, propiedad de Google, descubrió que un actor de amenaza que rastrea como UNC2903 había atacado entornos de AWS al pasarse de las credenciales obtenidas utilizando IMD desde julio de 2021, explotando una falta SSRF (CVE-2021-21311, CVSS Puntore: 7.2) en Administrador, una útil de dirección de datos de la fuente abierta, para favorecer la atención de datos de datos.
El problema, en esencia, se debe al hecho de que IMD, o más específicamente IMDSV1, es un protocolo de solicitud y respuesta, lo que lo convierte en un objetivo atractivo para los malos actores que se dirigen a aplicaciones web explotables que además ejecutan IMDSV1.
En un referencia publicado el mes pasado, ReseCurity advirtió que cuando SSRF se explota contra la infraestructura en la aglomeración como AWS, puede tener consecuencias de “graves y de gran calibre”, lo que resulta en el robo de credenciales en la aglomeración, el examen de red y el paso no calificado a los servicios internos.
“Entregado que SSRF se origina desde internamente del servidor, puede alcanzar puntos finales protegidos por firewalls perimetrales. Esto efectivamente convierte la aplicación pasivo en un proxy, lo que permite al atacante: silenciar las blancos de IP (y) alcanzar activos internos inalcanzables”, dijo.
Los últimos hallazgos de WIZ demuestran que los ataques dirigidos al servicio IMD se continúan teniendo oficio, con adversarios aprovechando las vulnerabilidades de SSRF en aplicaciones poco conocidas como PANDOC para habilitarlos.
“La vulnerabilidad, rastreada como CVE-2025-51591, proviene de Pandoc Rendering
“El atacante presentó documentos HTML diseñados que contienen
Wiz dijo que el ataque no tuvo éxito correcto a la aplicación de IMDSV2, que está orientado a la sesión y mitiga el ataque SSRF al exigir primero que un sucesor obtenga un token y use ese token en todas las solicitudes a los IMD a través de un encabezado distinto (X-AWS-Metadata-Coucado).
La compañía le dijo a The Hacker News que observó los intentos de explotación en el explicación “que se remontan a agosto y continuaron durante unas pocas semanas”, lo que además encontró esfuerzos continuos por parte de los actores de amenaza desconocidos para pasarse de otro defecto de SSRF en Clickhouse para violar sin éxito la plataforma de Google Cloud de Target.
Para mitigar el aventura planteado por CVE-2025-51591 en entornos en la aglomeración, se recomienda utilizar la opción “-f HTML+RAW_HTML” o la opción “–Sandbox” para evitar que PANDOC incluya el contenido de los nociones iframe a través del atributo SRC.
“(Pandoc Manteners) decidió que la representación del comportamiento previsto es el comportamiento previsto y que el sucesor es responsable de desinfectar la entrada o usar los indicadores de sandbox al manejar las entradas del sucesor”, dijo Wiz.
“Aunque Amazon recomienda implementar el IMDSV2 con mejoras de GuardDuty, las instancias de EC2 creadas por los clientes de Amazon que en su oficio usan IMDSV1 pueden estar en aventura cuando se combinan con además en ejecución del software de terceros pasivo no ecológico”, advirtieron los investigadores de Mandiant en ese momento.
Se recomienda a las organizaciones para hacer cumplir IMDSV2 en todas las instancias de EC2 y avalar que las instancias se asignen roles que siguen el principio de beocio privilegio (POLP) para contener el radiodifusión de acceso en caso de compromiso de IMDS.
