Cloud Security Company Wiz heeft onthuld dat het in het wild exploitatie van een beveiligingsfout heeft ontdekt in een Linux-hulpprogramma genaamd Pandoc Als onderdeel van aanvallen die zijn ontworpen om Amazon Web Services (AWS) exemplaar metagegevens (IMDS) te infiltreren.
De kwetsbaarheid in kwestie is CVE-2025-51591 (CVSS-score: 6.5), dat verwijst naar een geval van server-side Request Fevery (SSRF) waarmee aanvallers een doelsysteem kunnen in gevaar brengen door een speciaal vervaardigd HTML IFRAME-element te injecteren.
De EC2 IMDS is een cruciaal onderdeel van de AWS-cloudomgeving en biedt informatie over het uitvoeren van instanties, evenals tijdelijke, kortstondige referenties als een rol van identiteit en toegangsbeheer (IAM) wordt geassocieerd met het exemplaar. De metagegevens van de instantie is toegankelijk voor elke toepassing op een EC2-instantie via een link-lokaal adres (169.254.169 (.) 254).
Deze referenties kunnen vervolgens worden gebruikt om veilig te communiceren met andere AWS -services zoals S3, RDS of DynamoDB, waardoor applicaties kunnen authenticeren zonder de noodzaak van het opslaan van referenties op de machine, waardoor het risico van accidentele blootstelling wordt verminderd.
Een van de gemeenschappelijke methoden die aanvallers kunnen gebruiken om IAM -referenties van IMD’s te stelen, is via SSRF -fouten in webtoepassingen. Dit omvat in wezen het misleiden van de app die op een EC2 -instantie wordt uitgevoerd om een verzoek om IAM -referenties te verzenden van de IMDS -service namens haar.
“Als de applicatie het IMDS -eindpunt kan bereiken en vatbaar is voor SSRF, kan de aanvaller tijdelijke referenties oogsten zonder enige directe hosttoegang (zoals RCE of Path Traversal) nodig te hebben,” zeiden WIZ -onderzoekers Hila Ramati en Gili Tikochinski.
Een tegenstander die zich richt op AWS -infrastructuur, kan daarom zoeken naar SSRF -kwetsbaarheden in webtoepassingen die op EC2 -instanties worden uitgevoerd en, wanneer gevonden, toegang krijgen tot de instantie -metagegevens en IAM -referenties stelen. Dit is geen theoretische dreiging.
Al in begin 2022 ontdekte Google-eigendom dat Mandiant van de Google heeft vastgesteld dat een dreigingsacteur die het volgt als UNC2903 AWS-omgevingen had aangevallen door referenties te misbruiken die zijn verkregen met IMD’s sinds juli 2021, waarbij een SSRF-flaw-flaw-hulpprogramma’s worden gebruikt (CVE-2021-21311, CVSS-score: 7,2) in adminer, een open-source-databasebeheerhulpprogramma’s, tot facilitatie van data-diefstal.
De kwestie komt in de kern voort uit het feit dat IMD’s, of meer specifiek IMDSV1, een verzoek- en reactieprotocol is, waardoor het een aantrekkelijk doelwit is voor slechte actoren die zich richten op exploiteerbare webapplicaties die ook IMDSV1 uitvoeren.
In een rapport dat vorige maand werd gepubliceerd, waarschuwde Resecurity dat wanneer SSRF wordt geëxploiteerd tegen cloudinfrastructuur zoals AWS, het “ernstige en verstrekkende” gevolgen kan hebben, wat resulteert in diefstal van cloudreferenties, netwerkverkenning en ongeoorloofde toegang tot interne services.
“Aangezien SSRF afkomstig is van binnen de server, kan het eindpunten bereiken die worden beschermd door perimeterfirewalls. Dit verandert de kwetsbare toepassing effectief in een proxy, waardoor de aanvaller: bypass ip -whitelisten (en) anders onbereikbare interne activa kunnen bereiken,” zei het.
De nieuwste bevindingen van Wiz tonen aan dat aanvallen op de IMDS-service blijven plaatsvinden, met tegenstanders die gebruikmaken van SSRF-kwetsbaarheden in weinig bekende toepassingen zoals Pandoc om ze in te schakelen.
“De kwetsbaarheid, gevolgd als CVE-2025-51591, komt voort uit Pandoc Rendering