Un recente attacco informatico ha portato alla luce una vulnerabilità critica in Pandoc, un noto strumento di conversione documenti su Linux, sfruttata per colpire il servizio di metadata delle istanze di Amazon Web Services (AWS IMDS). La falla, identificata come CVE-2025-51591, è classificata come Server-Side Request Forgery (SSRF) e consente a un attaccante di compromettere un sistema bersaglio attraverso l’iniezione di un elemento HTML iframe appositamente creato. Questo tipo di vulnerabilità permette agli hacker di indurre l’applicazione a inviare richieste al servizio IMDS di AWS, esponendo così informazioni sensibili e credenziali temporanee associate ai ruoli IAM delle istanze EC2.

IMDS e la sicurezza delle credenziali AWS

IMDS è un componente fondamentale del cloud AWS perché fornisce dati sulle istanze e credenziali temporanee necessarie per comunicare in modo sicuro con altri servizi AWS, come S3, RDS e DynamoDB. L’accesso a queste informazioni tramite indirizzo link-local è pensato per mantenere la sicurezza senza dover salvare credenziali statiche sulle macchine, ma la presenza di vulnerabilità SSRF può annullare questa protezione. Gli attori malevoli sfruttano quindi bug come CVE-2025-51591 per ottenere credenziali AWS e ampliare il proprio raggio d’azione nella rete cloud della vittima.

Come funziona l’attacco SSRF su Pandoc

Il metodo d’attacco è semplice ma efficace: un’applicazione vulnerabile, come Pandoc, se eseguita su una istanza EC2, può essere indotta tramite SSRF a contattare l’endpoint IMDS e restituire all’attaccante le credenziali IAM. Queste credenziali possono essere usate per accedere a risorse cloud in modo non autorizzato, condurre ricognizione interna o compromettere servizi aziendali critici. Già in passato, attacchi simili sono stati condotti sfruttando altre applicazioni open-source, come Adminer, dimostrando come il rischio non sia solo teorico.

Misure di mitigazione raccomandate

Un elemento chiave di mitigazione è rappresentato dall’adozione di IMDSv2, che introduce una gestione delle sessioni tramite token e obbliga l’utilizzo di header specifici, riducendo drasticamente la possibilità di successo di attacchi SSRF. È quindi fortemente consigliato agli amministratori di sistema e ai responsabili di sicurezza di abilitare IMDSv2 su tutte le istanze EC2, limitare i privilegi IAM secondo il principio del minimo privilegio e applicare i parametri di sandbox o sanificazione degli input quando si utilizza Pandoc. Solo così è possibile contenere i rischi di esfiltrazione delle credenziali e proteggere gli ambienti cloud AWS dalle nuove minacce.