Hackers exploram Pandoc CVE-2025-51591 para atingir AWS

03/10/2025 mindsecblog Notícias 0

Hackers exploram Pandoc CVE-2025-51591 para atingir AWS IMDS e roubar credenciais EC2 IAM.

A empresa de segurança em nuvem Wiz tem revelado que descobriu a exploração selvagem de uma falha de segurança em um utilitário Linux chamado Pandoc como parte de ataques projetados para se infiltrar no Amazon Web Services (AWS) Instance Metadata Service (IMDS).

A vulnerabilidade em questão é CVE-2025-51591 (pontuação CVSS: 6,5), que se refere a um caso de falsificação de solicitação do lado do servidor (SSRF) que permite que invasores comprometam um sistema de destino injetando um elemento iframe HTML especialmente criado.

O IMDS EC2 é um componente crucial do ambiente de nuvem da AWS, oferecendo informações sobre instâncias em execução, bem como credenciais temporárias e de curta duração se uma função de gerenciamento de identidade e acesso (IAM) estiver associada à instância. Os metadados da instância são acessíveis a qualquer aplicativo em execução em uma instância EC2 por meio de um link-endereço local (169.254.169[.]254).

Essas credenciais podem então ser usadas para interagir com segurança com outros serviços da AWS, como S3, RDS ou DynamoDB, permitindo que os aplicativos se autentiquem sem a necessidade de armazenar credenciais na máquina, reduzindo assim o risco de exposição acidental.

Um dos métodos comuns que os invasores podem usar para roubar credenciais do IAM do IMDS é por meio de falhas de SSRF em aplicativos da web. Isso envolve essencialmente enganar o aplicativo em execução em uma instância EC2 para enviar uma solicitação solicitando credenciais do IAM do serviço IMDS em seu nome.

“Se o aplicativo puder atingir o endpoint IMDS e for suscetível ao SSRF, o invasor poderá coletar credenciais temporárias sem precisar de qualquer acesso direto ao host (como RCE ou passagem de caminho)”, disseram os pesquisadores do Wiz, Hila Ramati e Gili Tikochinski.

Um adversário que busca atingir a infraestrutura da AWS pode, portanto, procurar vulnerabilidades SSRF em aplicativos da Web executados em instâncias EC2 e, quando encontradas, acessar os metadados da instância e roubar credenciais do IAM. Esta não é uma ameaça teórica.

Já no início de 2022, a Mandiant, de propriedade do Google encontrado que um agente de ameaça que ele rastreia como UNC2903 atacou ambientes AWS abusando de credenciais obtidas usando IMDS desde julho de 2021, explorando uma falha SSRF (CVE-2021-21311, pontuação CVSS: 7,2) no Adminer, uma ferramenta de gerenciamento de banco de dados de código aberto, para facilitar o roubo de dados.

O problema, em sua essência, decorre do fato de que o IMDS, ou mais especificamente o IMDSv1, é um protocolo de solicitação e resposta, o que o torna um alvo atraente para pessoas mal-intencionadas que têm como alvo aplicativos da web exploráveis que também executam o IMDSv1.

Fonte da imagem: Datadog

Em um relatório publicado no mês passado, a Resecurity alertou que quando o SSRF é explorado contra infraestrutura de nuvem como a AWS, ele pode ter consequências “graves e de longo alcance”, resultando em roubo de credenciais de nuvem, reconhecimento de rede e acesso não autorizado a serviços internos.

“Como o SSRF se origina de dentro do servidor, ele pode alcançar endpoints protegidos por firewalls perimetrais. Isso efetivamente transforma o aplicativo vulnerável em um proxy, permitindo que o invasor: ignore as listas de permissões de IP [e] alcance ativos internos que de outra forma seriam inacessíveis”, disse.

As últimas descobertas do Wiz demonstram que ataques direcionados ao serviço IMDS continuam ocorrendo, com adversários aproveitando vulnerabilidades SSRF em aplicativos pouco conhecidos, como o Pandoc, para habilitá-los.

“A vulnerabilidade, rastreada como CVE-2025-51591, decorre da renderização do Pandoc de tags <iframe> em documentos HTML”, disseram pesquisadores do Wiz. “Isso permitiria que um invasor criasse um <iframe> que apontasse para o servidor IMDS ou outros recursos privados.”

“O invasor enviou documentos HTML criados contendo elementos <iframe> cujos atributos src tinham como alvo o endpoint AWS IMDS em 169.254.169[.]254. O objetivo era renderizar e exfiltrar o conteúdo de caminhos sensíveis, especificamente/latest/meta-data/iam/info e/latest/meta-data/iam.”

Wiz disse que o ataque acabou não tendo sucesso devido à aplicação de IMDSv2, que é orientado à sessão e mitiga o ataque SSRF exigindo primeiro que um usuário obtenha um token e use esse token em todas as solicitações ao IMDS por meio de um cabeçalho especial (X-aws-ec2-metadata-token).

A empresa disse ao The Hacker News que observou tentativas de exploração na natureza “que remontam a agosto e continuam por algumas semanas”, acrescentando que também encontrou esforços contínuos por parte de agentes de ameaças desconhecidos para abusar de outra falha SSRF no ClickHouse para violar sem sucesso o Google Cloud Platform de um alvo.

Para mitigar o risco representado pelo CVE-2025-51591 em ambientes de nuvem, é aconselhado para usar a opção “-f html+raw_html” ou a opção “–sandbox” para evitar que o Pandoc inclua o conteúdo dos elementos iframe por meio do atributo src.

“[Os mantenedores do Pandoc] decidiram que renderizar iframes é o comportamento pretendido e que o usuário é responsável por higienizar a entrada ou usar os sinalizadores sandbox ao manipular as entradas do usuário”, disse Wiz.

“Embora a Amazon recomende implementar o IMDSv2 com melhorias no GuardDuty, instâncias do EC2 criadas por clientes da Amazon que usam o IMDSv1 podem estar em risco quando combinadas com a execução de software de terceiros vulnerável e sem patches”, alertaram pesquisadores da Mandiant na época.

Recomenda-se que as organizações apliquem o IMDSv2 em todas as instâncias do EC2 e garantam que sejam atribuídas às instâncias funções que sigam o princípio do menor privilégio (PoLP) para conter o raio de explosão no caso de um comprometimento do IMDS.