La compañía de seguridad en la nube Wiz tiene reveló que descubrió la explotación en el bancario de una falla de seguridad en una utilidad de Linux llamada Pandoc Como parte de los ataques diseñados para infiltrarse en el servicio de metadatos de instancia (IMD) de Amazon Web Services (AWS).
La vulnerabilidad en cuestión es CVE-2025-51591 (Puntuación CVSS: 6.5), que se refiere a un caso de falsificación de solicitud del lado del servidor (SSRF) que permite a los atacantes comprometer un sistema objetivo inyectando un elemento HTML IFRAME especialmente diseñado.
El EC2 IMDS es un componente crucial del entorno de la nube de AWS, que ofrece información sobre las instancias de ejecución, así como las credenciales temporales de corta duración si un rol de gestión de identidad y acceso (IAM) está asociado con la instancia. Se puede acceder a los metadatos de instancia a cualquier aplicación que se ejecute en una instancia de EC2 a través de un dirección de enlace local (169.254.169[.]254).
Estas credenciales se pueden usar para interactuar de forma segura con otros servicios de AWS como S3, RDS o DynamodB, lo que permite que las aplicaciones se autenticen sin la necesidad de almacenar credenciales en la máquina, reduciendo así el riesgo de exposición accidental.
Uno de los métodos comunes Que los atacantes pueden usar para robar las credenciales de IAM de IMD es a través de fallas SSRF en aplicaciones web. Esto esencialmente implica engañar a la aplicación que se ejecuta en una instancia de EC2 para enviar una solicitud que busque credenciales de IAM del servicio IMDS en su nombre.
«Si la aplicación puede alcanzar el punto final de IMD y es susceptible a SSRF, el atacante puede cosechar credenciales temporales sin necesidad de acceso directo al huésped (como RCE o traversal de ruta)», dijeron los investigadores de Wiz Hila Ramati y Gili Tikochinski.
Por lo tanto, un adversario que busca apuntar a la infraestructura de AWS puede buscar vulnerabilidades de SSRF en aplicaciones web que se ejecutan en instancias de EC2 y, cuando se encuentran, acceder a los metadatos de instancia y robar credenciales de IAM. Esta no es una amenaza teórica.
Hasta principios de 2022, Mandiant propiedad de Google encontró Que un actor de amenaza que rastrea como UNC2903 había atacado entornos de AWS al abusar de las credenciales obtenidas usando IMD desde julio de 2021, explotando una falla SSRF (CVE-2021-21311Puntaje CVSS: 7.2) en Administrador, una herramienta de gestión de bases de datos de código abierto, para facilitar el robo de datos.
El problema, en esencia, se debe al hecho de que IMD, o más específicamente IMDSV1, es un protocolo de solicitud y respuesta, lo que lo convierte en un objetivo atractivo para los malos actores que se dirigen a aplicaciones web explotables que también ejecutan IMDSV1.
En un informe publicado el mes pasado, ReseCurity advirtió que cuando SSRF se explota contra la infraestructura en la nube como AWS, puede tener consecuencias de «graves y de gran alcance», lo que resulta en el robo de credenciales en la nube, el reconocimiento de red y el acceso no autorizado a los servicios internos.
«Dado que SSRF se origina desde dentro del servidor, puede alcanzar puntos finales protegidos por firewalls perimetrales. Esto efectivamente convierte la aplicación vulnerable en un proxy, lo que permite al atacante: omitir las listas blancas IP [and] alcanzar activos internos inalcanzables «,» dicho.
Los últimos hallazgos de WIZ demuestran que los ataques dirigidos al servicio IMD se continúan teniendo lugar, con adversarios aprovechando las vulnerabilidades de SSRF en aplicaciones poco conocidas como PANDOC para habilitarlos.
«La vulnerabilidad, rastreada como CVE-2025-51591, proviene de Pandoc Rendering
«El atacante presentó documentos HTML diseñados que contienen
Wiz dijo que el ataque no tuvo éxito debido a la aplicación de IMDSV2que está orientado a la sesión y mitiga el ataque SSRF al exigir primero que un usuario obtenga un token y use ese token en todas las solicitudes a los IMD a través de un encabezado especial (X-AWS-EC2-Metadata-Token).
La compañía le dijo a The Hacker News que observó los intentos de explotación en el desarrollo «que se remontan a agosto y continuaron durante unas pocas semanas», lo que también encontró esfuerzos continuos por parte de los actores de amenaza desconocidos para abusar de otro defecto de SSRF en Clickhouse para violar sin éxito la plataforma de Google Cloud de Target.
Para mitigar el riesgo planteado por CVE-2025-51591 en entornos de nubes, es aconsejado Para usar la opción «-f HTML+RAW_HTML» o la opción «–Sandbox» para evitar que PANDOC incluya el contenido de los elementos iframe a través del atributo SRC.
«[Pandoc maintainers] Decidió que representar iFrames es el comportamiento previsto y que el usuario es responsable de desinfectar la entrada o usar los indicadores de sandbox al manejar las entradas del usuario «, dijo Wiz.
«Aunque Amazon recomienda implementar el IMDSV2 con mejoras de GuardDuty, las instancias de EC2 creadas por los clientes de Amazon que en su lugar usan IMDSV1 pueden estar en riesgo cuando se combinan con también en ejecución del software de terceros vulnerable no ecológico», advirtieron los investigadores de Mandiant en ese momento.
Se recomienda a las organizaciones para hacer cumplir IMDSV2 en todas las instancias de EC2 y garantizar que las instancias se asignen roles que siguen el principio de menor privilegio (POLP) para contener el radio de explosión en caso de compromiso de IMDS.
Fuente