La compañía de seguridad en la nube Wiz ha revelado que ha revelado su uso en las fallas de seguridad salvajes de una utilidad de Linux llamada Pandoc como parte de un ataque diseñado para infiltrarse en el Servicio de Metadatos de Instancia (AWS) de Amazon Services (AWS).
La vulnerabilidad en cuestión es CVE-2025-51591 (puntaje CVSS: 6.5). Esto se refiere a un caso de solicitud del lado del servidor (SSRF) donde un atacante puede comprometer el sistema de destino inyectando un elemento HTML IFRAME especialmente creado.
EC2 IMDS es un componente crítico de un entorno de la nube de AWS y proporciona información sobre las instancias de ejecución y las credenciales temporales de corta duración cuando un rol de gestión de identidad y acceso (IAM) está asociado con una instancia. Los metadatos de instancia pueden acceder a cualquier aplicación que se ejecute en la instancia EC2 a través de una dirección local de enlace (169.254.169 (.) 254).
Estas credenciales se pueden utilizar para interactuar de manera segura con otros servicios de AWS, como S3, RDS y DynamodB, para autenticar aplicaciones sin la necesidad de almacenar credenciales en la máquina, reduciendo así el riesgo de exposición accidental.
Una forma común en que un atacante puede usar para robar las credenciales de IAM de IMD es a través de fallas SSRF en aplicaciones web. Esto esencialmente implica engañar una aplicación que se ejecuta en una instancia de EC2 y enviar una solicitud del servicio IMDS para solicitar credenciales de IAM.
«Si una aplicación puede alcanzar un punto final IMDS y es susceptible a SSRF, un atacante puede recolectar derechos temporales sin la necesidad de acceso directo al host (como RCE o transversal pasado)».
Por lo tanto, los enemigos que intentan apuntar a la infraestructura de AWS pueden buscar vulnerabilidades de SSRF en aplicaciones web que se ejecutan en instancias de EC2 y, si se encuentran, acceder a metadatos de instancia para robar credenciales de IAM. Esta no es una amenaza teórica.
A principios de 2022, Mandiant, propiedad de Google, abusó de las calificaciones obtenidas usando IMD desde julio de 2021 y atacó el entorno AWS utilizando un administrador, una herramienta de gestión de bases de datos de código abierto, utilizando deficiencia de SSRF (CVE-2021-21311, puntaje CVSS: 7.2), que fue rastreado por los actores de amenaza.
Este problema se deriva del hecho de que las IMD, o más específicamente, IMDSV1, es un protocolo de solicitud y respuesta, lo que lo convierte en un objetivo atractivo para los malos actores dirigidos a aplicaciones web explotables que ejecutan IMDSV1.
Un informe publicado el mes pasado advirtió que los SSRF pueden ser explotados contra infraestructuras en la nube como AWS, que podrían tener consecuencias «serias y generalizadas», lo que lleva a un acceso no autorizado a credenciales en la nube, reconocimiento de redes y servicios internos.
«SSRF proviene de dentro del servidor, lo que le permite alcanzar puntos finales protegidos por firewalls perimetrales. Esto transforma efectivamente las aplicaciones vulnerables en proxy, lo que permite a los atacantes omitirlos de la siguiente manera:
Los últimos hallazgos de Wiz muestran que los ataques dirigidos a los servicios de IMD continúan teniendo lugar. El enemigo está aprovechando las vulnerabilidades de SSRF en aplicaciones menos conocidas, como pandoc para habilitarlas.
«La vulnerabilidad rastreada como CVE-2025-51591 proviene de la etiqueta de representación PANDOC en documentos HTML», dijeron los investigadores de Wiz. «Esto permite que un atacante cree algo que apunte a un servidor IMD u otros recursos privados».
«El atacante presentó un documento HTML creado que contiene el elemento cuyo atributo SRC se dirige al punto final AWS IMD en 169.254.169 (.).
Wiz dijo que el ataque finalmente falló con la aplicación de IMDSV2. Este es orientado a la sesión y mitiga los ataques SSRF al obtener primero el token y usar ese token en cada solicitud a IMD a través de un encabezado especial (X-AWS-EC2-Metadata-Token).
La compañía le dijo a los Hackers News que había observado intentos de explotación salvaje «que duraron varias semanas hasta agosto».
Recomendamos usar la opción «-f HTML+RAW_HTML» o «-SandBox» para mitigar las poses de riesgo por CVE-2025-51591 en un entorno de la nube.
«El (mantenador PANDOC) decidió que la representación de iframe es el comportamiento previsto y que es responsable de que el usuario desinfecte la entrada o use banderas de sandbox al procesar la entrada del usuario», dijo Wiz.
«Aunque Amazon recomienda implementar IMDSV2 utilizando mejoras de GuardDuty, las instancias de EC2 creadas por los clientes de Amazon pueden estar en riesgo si usan IMDSV1 en su lugar.
Se alienta a las organizaciones a hacer cumplir IMDSV2 en todas las instancias de EC2 y garantizar que se asignen instancias que sigan el principio de menor privilegio (POLP) para contener el radio de explosión en caso de compromiso de IMDS.
Source link
