黑客利用 Pandoc CVE-2025-51591 攻击 AWS IMDS 并窃取 EC2 IAM 凭证

云安全公司 Wiz透露，它发现了针对 Linux 实用程序Pandoc的安全漏洞的野外利用，这是旨在渗透亚马逊网络服务 (AWS) 实例元数据服务 (IMDS) 的攻击的一部分。

该漏洞编号为CVE-2025-51591（CVSS 评分：6.5），属于服务器端请求伪造 (SSRF) 漏洞，攻击者可以通过注入特制的 HTML iframe 元素来入侵目标系统。

EC2 IMDS是 AWS 云环境的关键组件，它提供有关正在运行实例的信息，如果实例关联了身份和访问管理 (IAM) 角色，则还会提供临时的短期凭证。任何在 EC2 实例上运行的应用程序都可以通过链路本地地址(169.254.169[.]254) 访问实例元数据。

然后，这些凭证可用于与其他 AWS 服务（如 S3、RDS 或 DynamoDB）安全地交互，允许应用程序进行身份验证而无需在机器上存储凭证，从而降低意外暴露的风险。

攻击者从 IMDS 窃取 IAM 凭证的常用方法之一是利用 Web 应用程序中的 SSRF 漏洞。这本质上是欺骗在 EC2 实例上运行的应用程序，使其代表自己向 IMDS 服务发送请求，以获取 IAM 凭证。

DFIR 保留服务
Wiz 研究人员 Hila Ramati 和 Gili Tikochinski 表示：“如果应用程序可以到达 IMDS 端点并且容易受到 SSRF 攻击，攻击者就可以获取临时凭证，而无需任何直接主机访问（例如 RCE 或路径遍历）。”

因此，想要攻击 AWS 基础设施的攻击者可以搜索在 EC2 实例上运行的 Web 应用程序中的 SSRF 漏洞，一旦发现漏洞，便可访问实例元数据并窃取 IAM 凭证。这并非理论上的威胁。

早在 2022 年初，谷歌旗下的 Mandiant 公司就发现其追踪的威胁行为者 UNC2903 自 2021 年 7 月以来就通过滥用使用 IMDS 获取的凭证攻击了 AWS 环境，利用开源数据库管理工具 Adminer 中的 SSRF 漏洞（CVE-2021-21311，CVSS 评分：7.2）来窃取数据。