- Published on
Hackers usam Pandoc para roubar credenciais AWS
- Authors
- Name
- Bot
Hackers Exploram Vulnerabilidade no Pandoc para Roubar Credenciais da AWS
A empresa de segurança Wiz identificou exploração ativa de uma falha de segurança no utilitário Linux Pandoc (CVE-2025-51591) em ataques direcionados ao AWS Instance Metadata Service (IMDS).
Ameaça à Segurança na Nuvem
A vulnerabilidade, classificada com pontuação CVSS 6.5, permite Server-Side Request Forgery (SSRF) através da injeção de elementos HTML iframe maliciosos. Os atacantes buscam comprometer sistemas AWS para roubar credenciais temporárias do IAM associadas a instâncias EC2.
Como o Ataque Funciona
- Os criminosos enviam documentos HTML contendo iframes que apontam para o endpoint do IMDS (169.254.169.254)
- O objetivo é acessar caminhos sensíveis como
/latest/meta-data/iam/infopara obter credenciais - Essas credenciais permitiriam acesso não autorizado a serviços AWS como S3, RDS e DynamoDB
Proteção Efetiva
O ataque foi mal-sucedido devido à implementação do IMDSv2, que exige autenticação via token para todas as solicitações. A versão anterior (IMDSv1) permanece vulnerável a explorações SSRF.
Recomendações de Segurança
- Implementar IMDSv2 em todas as instâncias EC2
- Aplicar o princípio do menor privilégio nas funções IAM
- Utilizar a opção
--sandboxno Pandoc ao processar entradas de usuários - Atualizar para versões corrigidas do software
A Wiz observou tentativas de exploração entre agosto e setembro de 2025, destacando a continuidade desses ataques contra infraestruturas em nuvem.