Source: https://thehackernews.com/2025/09/hackers-exploit-pandoc-cve-2025-51591.html
🛡 概要
クラウドセキュリティ企業Wizが、LinuxユーティリティPandocの脆弱性を悪用した攻撃が実際に行われていることを発表しました。この脆弱性CVE-2025-51591(CVSSスコア: 6.5)は、サーバーサイドリクエストフォージェリ(SSRF)に関連しており、攻撃者が特別に作成されたHTML iframe要素を注入することでターゲットシステムを侵害できる可能性があります。AWSのインスタンスメタデータサービス(IMDS)は、EC2インスタンスに関する重要な情報を提供し、IAMロールが関連付けられている場合、短命の認証情報を提供します。
🔍 技術詳細
IMDSはEC2インスタンス上で実行されるアプリケーションがアクセス可能であり、特定のリンクローカルアドレス(169.254.169.254)を介して情報を取得できます。攻撃者は、アプリケーションがIMDSエンドポイントにアクセスでき、かつSSRFに脆弱である場合、IAM認証情報を収集することができます。Wizの研究者によれば、攻撃者は、IMDSサーバーを指すiframeを含むHTMLドキュメントを提出し、/latest/meta-data/iam/infoや/latest/meta-data/iamの機密情報を取得しようとしました。CVE-2021-21311(CVSSスコア: 7.2)も関連しており、2021年以降、特定の脆弱性を悪用してAWS環境への攻撃が行われています。
⚠ 影響
Wizの調査によると、IMDSサービスをターゲットにした攻撃は依然として続いており、攻撃者はPandocのようなあまり知られていないアプリケーションのSSRF脆弱性を利用しています。これにより、クラウド認証情報の盗難やネットワークの偵察、内部サービスへの不正アクセスが発生する可能性があります。SSRFはサーバー内から発生するため、周辺ファイアウォールで保護されたエンドポイントにも到達できる可能性があり、攻撃者は脆弱なアプリケーションをプロキシとして利用することができます。
🛠 対策
CVE-2025-51591によるリスクを軽減するためには、Pandocに-f html+raw_htmlオプションや–sandboxオプションを使用することが推奨されます。また、IMDSv2を強制的に適用し、EC2インスタンスに最小権限の原則(PoLP)に従ったロールを割り当てることで、IMDSの侵害に対する影響を抑えることができます。AmazonはIMDSv2の実装を推奨しており、セキュリティを強化するためにGuardDutyの機能を活用することも重要です。これらの対策を講じることで、組織はクラウド環境におけるセキュリティを向上させることができます。
