A empresa de segurança em cloud Wiz revelou a descoberta de ataques reais explorando uma vulnerabilidade em uma ferramenta Linux chamada Pandoc, usados para invadir o AWS Instance Metadata Service (IMDS) da Amazon Web Services (AWS).
A falha em questão é a
CVE-2025-51591
, com um score 6,5 no CVSS, caracterizada como um caso de Server-Side Request Forgery (SSRF).
Essa vulnerabilidade permite que invasores comprometam o sistema ao injetar um elemento HTML iframe especialmente manipulado.
O EC2 IMDS é um componente essencial do ambiente AWS, responsável por fornecer informações sobre instâncias em execução e também credenciais temporárias quando uma role do Identity and Access Management (IAM) está associada à instância.
Essas informações ficam acessíveis para qualquer aplicação rodando na instância EC2 por meio de um endereço link-local (169[.]254.169[.]254).
As credenciais temporárias possibilitam que as aplicações se autentiquem de forma segura em outros serviços AWS, como S3, RDS ou DynamoDB, sem necessidade de armazenar credenciais na máquina, diminuindo o risco de exposição acidental.
Os atacantes costumam explorar falhas SSRF em aplicações web para roubar essas credenciais do IMDS.
Basicamente, eles enganam a aplicação em execução na instância EC2 para que esta envie requisições que busquem credenciais do IMDS em nome do invasor.
“Se a aplicação consegue acessar o endpoint do IMDS e é vulnerável a SSRF, o atacante pode coletar credenciais temporárias sem precisar de acesso direto ao host, como RCE ou path traversal”, explicam os pesquisadores da Wiz, Hila Ramati e Gili Tikochinski.
Para comprometer a infraestrutura AWS, um adversário pode procurar vulnerabilidades SSRF em aplicações rodando em instâncias EC2, e quando encontradas, acessar os metadados da instância para roubar as credenciais IAM.
Esse cenário não é apenas teórico.
Desde o início de 2022, a Mandiant, empresa do Google, identificou um grupo de ameaça chamado UNC2903 que explorava credenciais obtidas via IMDS em ataques desde julho de 2021.
Eles abusaram de uma falha SSRF (
CVE-2021-21311
, CVSS 7,2) no Adminer, uma ferramenta open source para gerenciamento de banco de dados, para roubo de dados.
O problema está ligado ao fato de que o IMDS, especialmente na versão IMDSv1, funciona via protocolo de request/response.
Isso o torna um alvo atraente para quem explora vulnerabilidades SSRF em aplicações que também utilizam IMDSv1.
Em um relatório divulgado no mês passado, a Resecurity alertou que a exploração de SSRF contra infraestrutura cloud como AWS pode causar impactos “severos e abrangentes”, incluindo roubo de credenciais, reconhecimento de rede e acesso não autorizado a serviços internos.
“Como o SSRF se origina dentro do servidor, ele pode atingir endpoints protegidos por firewalls de perímetro.
Isso transforma a aplicação vulnerável em um proxy, permitindo que o atacante contorne listas de IPs liberados e acesse recursos internos inacessíveis”, afirmou a empresa.
As descobertas recentes da Wiz confirmam que ataques ao serviço IMDS continuam acontecendo, com adversários explorando vulnerabilidades SSRF em aplicações pouco conhecidas, como o Pandoc.
“A vulnerabilidade
CVE-2025-51591
se origina do Pandoc ao interpretar tags iframe em documentos HTML”, explicam os pesquisadores da Wiz.
“Isso permite que um atacante crie um iframe apontando para o servidor IMDS ou outros recursos privados.”
O invasor envia documentos HTML com iframes cujo atributo src mira o endpoint do AWS IMDS 169[.]254.169[.]254.
O objetivo é renderizar e extrair conteúdos sensíveis, como /latest/meta-data/iam/info e /latest/meta-data/iam.
A Wiz esclarece que o ataque foi frustrado graças ao uso do IMDSv2, que introduz um sistema de sessões e exige a obtenção de um token para todas as requisições via header especial (X-aws-ec2-metadata-token), mitigando o ataque SSRF.
A empresa disse ao The Hacker News que observou tentativas reais de exploração “desde agosto e por algumas semanas”, além de esforços contínuos, por atores desconhecidos, para abusar de outra falha SSRF no ClickHouse visando a plataforma Google Cloud, sem sucesso.
Para reduzir o risco da
CVE-2025-51591
em ambientes cloud, é recomendado usar as opções “-f html+raw_html” ou “--sandbox” no Pandoc, evitando que iframes com src sejam renderizados.
“Os mantenedores do Pandoc definiram que a renderização de iframes é comportamento intencional, cabendo ao usuário sanitizar o input ou usar flags sandbox ao lidar com entradas de terceiros”, explicou a Wiz.
Pesquisadores da Mandiant alertam que, embora a Amazon recomende o IMDSv2 com reforços do GuardDuty, instâncias EC2 criadas por clientes que ainda usam IMDSv1 ficam vulneráveis, principalmente quando combinadas com softwares vulneráveis e sem patch.
O ideal é que as organizações adotem o IMDSv2 em todas as instâncias EC2 e atribuam roles com privilégios mínimos (PoLP – principle of least privilege), limitando os danos em caso de comprometimento do IMDS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...