在当今云计算技术高速发展的背景下,Amazon Web Services(AWS)凭借其强大的功能和灵活的资源管理,成为无数企业首选的云平台。然而,随着应用规模和复杂性的增加,相关安全隐患也逐渐显现。最近,安全公司Wiz披露了一项严重漏洞 - - Pandoc软件中的CVE-2025-51591,这一漏洞被攻击者利用来针对AWS实例元数据服务(IMDS),试图窃取运行在EC2实例上的身份与访问管理(IAM)凭证。VPN和防火墙等外围防护措施未必能防范此类攻击,因此深入理解这一漏洞的机制及其影响,对保障云安全至关重要。Pandoc是一款广受欢迎的文档转换工具,广泛应用于自动化文档处理流程。该工具支持将多种文档格式转换为HTML等多种输出格式。
CVE-2025-51591是一种服务器端请求伪造(SSRF)漏洞,攻击者可以通过构造带有特定HTML iframe标签的文档,诱使Pandoc渲染时向AWS IMDS服务发起请求。IMDS是AWS EC2实例中的关键组件,用于提供关于实例本身的信息,包括临时IAM凭证。IAM凭证能够授权EC2实例安全访问其他AWS服务,比如S3、RDS或DynamoDB,而无需在实例中硬编码长期凭证。这种机制固然便利,但如果被恶意利用,攻击者便得以窃取这些临时凭证,从而横向渗透到云环境的更多资源。攻击者利用CVE-2025-51591的核心方式是通过Pandoc渲染的HTML文档中的<iframe>标签,将iframe的src属性指向169.254.169.254这一本地链路地址,即AWS IMDS的固定访问地址。通过这种方式,攻击者能够让Pandoc服务器在处理文档时请求并尝试获取IMDS中的敏感路径数据,如/latest/meta-data/iam/info和/latest/meta-data/iam。
若服务器未部署IMDSv2保护机制,或未正确配置访问策略,攻击者便能够捕获并滥用这些临时凭证。服务器端请求伪造漏洞之所以危险,部分原因在于它绕过了传统的网络边界防护。由于请求源自应用服务器自身,这意味着即便外部网络受限,攻击者依旧可以通过应用作为代理,访问内部网络甚至私有云资源。尤其是在AWS这种多租户共享环境中,SSRF一旦与IAM凭证泄露结合,极易造成严重的安全后果,包括数据泄露、服务滥用甚至完全控制目标实例。不难发现,类似的攻击案例并非首次。早在2021年7月,Mandiant就发现威胁组织UNC2903通过利用Adminer数据库管理工具中的SSRF漏洞(CVE-2021-21311)攻击AWS环境,成功窃取IMDS的IAM凭证并展开后续攻击。
这表明AWS IMDS机制的安全设计和应用层安全防护需要同步强化。为了提升防御能力,AWS推出了IMDSv2版本。IMDSv2采用基于会话的令牌机制,要求所有请求先获取令牌,并在后续请求中携带该令牌,显著提高了针对SSRF攻击的抗性。Wiz安全团队在本次报告中指出,虽然部分攻击尝试因部署了IMDSv2而失败,但仍有大量EC2实例因使用过时的IMDSv1而暴露巨大风险。此外,未及时更新第三方软件和未实施严格最小权限原则,也为攻击提供了可乘之机。Pandoc项目方则表示,iframe标签的渲染是设计行为,用户应自行负责过滤或限制未经信任的输入。
为降低安全风险,建议用户在使用Pandoc转换HTML时添加-f html+raw_html标志或者使用--sandbox选项,禁止通过iframe的src属性加载外部内容,从而避免潜在的SSRF攻击链路。企业在防护层面,应全面推行IMDSv2,确保云实例安全配置齐全,并限制IAM角色权限,遵循最小权限原则。同时,加强对第三方开源软件的安全审查与及时更新,是遏制攻击的重要环节。行业专家呼吁,云安全不能单靠基础设施厂商,用户端的安全意识与实践同样关键。综合来看,CVE-2025-51591漏洞的曝光警示企业认识到内网潜伏的威胁,必须坚持多层防护、多维检测的安全策略。安全运营中心(SOC)需密切监测SSRF相关异常流量,结合威胁情报及时响应和修补。
未来,随着云环境进一步复杂化,类似Pandoc负载组件的安全问题将更频繁地被发现,如何在保证业务连续性的前提下,快速管控安全风险成为业界挑战。要有效降低此类风险,企业还可以采用行为分析和零信任架构来限制不必要的网络请求路径,并利用自动化工具加快漏洞修复速度。安全从来不是单点防御,而是整体生态的完善。在追求成本效益和业务效率的同时,务必重视云端安全设计和运行维护。只有建立起严密的环节管理与实时防御体系,才能在面对日益复杂的威胁环境中守护核心资产。总而言之,Pandoc CVE-2025-51591漏洞事件昭示着云安全的复杂性和紧迫性。
利用应用层SSRF漏洞攻击AWS IMDS,窃取EC2 IAM凭证,使攻击者有机会横向移动,放大破坏范围。企业必须认识到,持续强化实例元数据服务的安全防护、改进应用输入校验机制及加强云身份管理策略,是减少云环境安全风险的不二法门。持续关注最新安全动态,结合实际安全需求合理配置,是构筑坚实防线的关键所在。 。
