كشفت شركة Wiz لأمن السحابة عن استغلال ثغرة جديدة في أداة Pandoc (CVE-2025-51591) على أنظمة Linux، حيث حاول المهاجمون استخدامها للوصول إلى خدمة بيانات تعريف المثيلات (IMDS) في أمازون ويب سيرفيسز وسرقة بيانات اعتماد EC2 IAM.
.webp "استغلال ثغرة Pandoc CVE-2025-51591 لاستهداف AWS IMDS وسرقة بيانات اعتماد IAM")
تفاصيل الثغرة
-
نوع الثغرة: SSRF – تزوير الطلبات من جانب الخادم
-
خطورتها: درجة CVSS 6.5
-
طريقة الاستغلال: حقن عناصر
<iframe>داخل مستندات HTML تستهدف عنوان IMDS المحلي 169.254.169[.]254 للحصول على بيانات الاعتماد المؤقتة.
لماذا IMDS هدف جذاب؟
خدمة IMDS توفر بيانات اعتماد مؤقتة للتطبيقات العاملة على EC2 للتواصل مع خدمات AWS مثل S3 وRDS وDynamoDB.
لكن وجود ثغرات SSRF يمكّن المهاجم من خداع التطبيق وسحب هذه البيانات دون الحاجة لاختراق مباشر للمضيف.
كيف فشل الهجوم؟
أفاد باحثو Wiz أن الهجوم لم ينجح بسبب تفعيل IMDSv2، الذي يعتمد على رموز مميزة للجلسات تمنع هجمات SSRF المباشرة.
توصيات الأمان
-
تفعيل IMDSv2 في جميع نسخ EC2.
-
تطبيق مبدأ الحد الأدنى من الامتيازات (PoLP) عند إنشاء أدوار IAM.
-
تطهير مدخلات المستخدم قبل تمريرها إلى أدوات مثل Pandoc.
-
استخدام خيارات الحماية في Pandoc مثل:
-
-f html+raw_html -
--sandbox
-
-
تحديث الأدوات والبرمجيات باستمرار وتفعيل خدمات المراقبة مثل GuardDuty.
الخلاصة
الهجوم يبرز خطورة ثغرات SSRF في البيئات السحابية، ويؤكد أن ثغرة بسيطة في أداة مفتوحة المصدر مثل Pandoc قد تكون بوابة للوصول إلى بيانات حساسة داخل AWS. الحل يكمن في الجمع بين تحديث البرمجيات، تفعيل IMDSv2، وتطبيق أفضل ممارسات الأمان السحابي.
