Wiz 研究人员在一份新报告中表示:“我们发现,由于不安全地使用 Pandoc,流行的网络服务中存在一个以前未知的零日漏洞,该漏洞被广泛利用。”
网络安全明星 Wiz 发现,威胁行为者正在试图利用 Linux 工具中的漏洞来渗透AWS实例元数据服务 (IMDS)。
Wiz研究人员 Gili Tikochinski 和 Hila Ramati 在一份新报告中表示:“多年来,威胁行为者已经学会将 IMDS 变成凭证盗窃、横向移动和权限提升的垫脚石。”
Wiz 表示,该安全漏洞存在于名为 Pandoc 的 Linux 实用程序中,该漏洞指的是服务器端请求伪造 (SSRF) 的情况,攻击者可以通过实施特制的 HTML iframe 元素来破坏系统。
Wiz 研究人员表示:“我们发现,由于不安全地使用 Pandoc,流行的网络服务中存在一个以前未知的零日漏洞,该漏洞被广泛利用。”
Wiz 表示:“该漏洞编号为 CVE-2025-51591,源自 Pandoc 在 HTML 文档中渲染标签。这将允许攻击者制作指向 IMDS 服务器或其他私有资源的 <iframe>。”
Wiz 表示,在一个案例中,攻击者提交了精心设计的 HTML 文档,其中包含 <iframe> 元素,其源属性针对的是 AWS IMDS 端点。
“其目的是渲染并窃取敏感路径的内容,”Wiz 说道。“然而,由于强制执行 IMDSv2,这次攻击被化解了。”
Wiz 建议 AWS 客户在所有 EC2 实例上强制执行 IMDSv2(版本 2),并确保为实例分配遵循最小特权原则的角色,以控制 IMDS 泄露的半径。
AWS 尚未立即回应置评请求。
AWS 的 EC2 IMDS
IMDS 是在每个云计算实例上运行的服务器,它提供临时的、短期的凭证和其他数据,供云计算上运行的应用程序使用。据 Wiz 介绍,这使得这些应用程序能够安全地访问云服务,而无需在机器上对凭证进行硬编码。
AWS 的 EC2 IMDS 提供有关正在运行的实例和临时凭证的信息。
据 Wiz 称,在 EC2 实例中运行的应用程序可以通过链接本地地址访问 IMDS。
如果被盗,威胁行为者可以使用凭证与其他 AWS 服务(如 DynamoDB、S3 和 AWS RDS)进行交互。
攻击者的策略
Wiz 表示,为了获得对云环境的初始访问权限,黑客会寻找一种方法来“诱骗”在暴露的计算实例上运行的应用程序查询 IMDS 并向他们提供检索到的临时凭据。
然后,攻击者可以横向移动并在整个组织环境中提升权限。
Wiz 表示,攻击者通常通过两种方式利用应用程序漏洞:SSRF,即代码注入和错误配置的工作负载。
该网络安全公司表示,这一发现表明,攻击者正在继续利用 Pandoc 等小型应用程序中的 SSRF 漏洞来攻击 IMDS 服务。
AWS 收益和全球云市场份额
这家总部位于西雅图的云计算巨头是全球最大的云计算公司,截至 2025 年第二季度,占据全球企业云基础设施服务市场 30% 的份额。
2025年第二季度,AWS总收入达到309亿美元,同比增长17%。
该公司目前的年营业额为 1,240 亿美元。
