クラウドセキュリティ企業のWizは、LinuxユーティリティPandocのセキュリティ脆弱性が野生下で悪用され、Amazon Web Services(AWS)のインスタンスメタデータサービス(IMDS)への侵入を目的とした攻撃の一環であることを明らかにしました。
問題となっている脆弱性はCVE-2025-51591(CVSSスコア:6.5)であり、これはサーバーサイドリクエストフォージェリ(SSRF)の一例で、攻撃者が特別に細工されたHTMLのiframe要素を注入することでターゲットシステムを侵害できるものです。
EC2 IMDSはAWSクラウド環境の重要なコンポーネントであり、実行中のインスタンスに関する情報や、インスタンスにIDおよびアクセス管理(IAM)ロールが関連付けられている場合は一時的な認証情報を提供します。インスタンスメタデータは、EC2インスタンス上で動作する任意のアプリケーションからリンクローカルアドレス(169.254.169[.]254)を介してアクセス可能です。
これらの認証情報は、その後S3、RDS、DynamoDBなど他のAWSサービスと安全にやり取りするために利用でき、アプリケーションはマシン上に認証情報を保存することなく認証できるため、偶発的な漏洩リスクを軽減します。
攻撃者がIMDSからIAM認証情報を窃取するために利用できる一般的な手法の一つが、WebアプリケーションのSSRF脆弱性です。これは本質的に、EC2インスタンス上で動作するアプリケーションを騙して、IMDSサービスからIAM認証情報を取得するリクエストを送信させるものです。
「アプリケーションがIMDSエンドポイントに到達でき、かつSSRFの影響を受ける場合、攻撃者は直接ホストへのアクセス(RCEやパストラバーサルなど)なしに一時的な認証情報を収集できます」と、Wizの研究者Hila Ramati氏とGili Tikochinski氏は述べています。
したがって、AWSインフラを標的とする攻撃者は、EC2インスタンス上で動作するWebアプリケーションのSSRF脆弱性を探し、発見した場合はインスタンスメタデータへアクセスし、IAM認証情報を窃取できます。これは理論上の脅威ではありません。
早くも2022年初頭には、Google傘下のMandiantが、UNC2903として追跡している脅威アクターが2021年7月以降、IMDSを利用して取得した認証情報を悪用し、AWS環境を攻撃していたことを発見しています。この際、オープンソースのデータベース管理ツールAdminerのSSRF脆弱性(CVE-2021-21311、CVSSスコア:7.2)を悪用し、データ窃取を容易にしていました。
この問題の根本は、IMDS、特にIMDSv1がリクエストとレスポンスのプロトコルであり、IMDSv1も実行する脆弱なWebアプリケーションを標的とする悪意のある攻撃者にとって魅力的なターゲットとなっている点にあります。
先月公開されたレポートでResecurityは、SSRFがAWSのようなクラウドインフラに対して悪用された場合、「深刻かつ広範な」影響を及ぼし、クラウド認証情報の窃取、ネットワーク偵察、内部サービスへの不正アクセスにつながる可能性があると警告しました。
「SSRFはサーバー内部から発生するため、周辺ファイアウォールで保護されたエンドポイントにも到達できます。これにより、脆弱なアプリケーションが実質的にプロキシとなり、攻撃者はIPホワイトリストをバイパスし、通常は到達できない内部資産にアクセスできるようになります」と述べています。
Wizによる最新の調査結果は、IMDSサービスを標的とした攻撃が引き続き発生しており、攻撃者がPandocのようなあまり知られていないアプリケーションのSSRF脆弱性を利用していることを示しています。
「CVE-2025-51591として追跡されているこの脆弱性は、PandocがHTMLドキュメント内の<iframe>タグをレンダリングすることに起因します」とWizの研究者は述べています。「これにより、攻撃者はIMDSサーバーや他のプライベートリソースを指す<iframe>を作成できます。」
「攻撃者は、src属性がAWS IMDSエンドポイント(169.254.169[.]254)を指す<iframe>要素を含む細工されたHTMLドキュメントを送信しました。目的は、特に /latest/meta-data/iam/info および /latest/meta-data/iam の機微なパスの内容をレンダリングし、流出させることでした。」
Wizによると、この攻撃は最終的にIMDSv2の強制により失敗に終わりました。IMDSv2はセッション指向であり、まずユーザーがトークンを取得し、そのトークンを特別なヘッダー(X-aws-ec2-metadata-token)でIMDSへのすべてのリクエストに使用する必要があるため、SSRF攻撃を緩和します。
同社はThe Hacker Newsに対し、「8月にさかのぼり数週間にわたり」野生下での悪用の試みを観測したと述べ、さらに、ClickHouseの別のSSRF脆弱性を悪用してターゲットのGoogle Cloud Platformへの侵入を試みる未知の脅威アクターの継続的な活動も確認したと付け加えました。
クラウド環境におけるCVE-2025-51591のリスクを軽減するには、Pandocがiframe要素のsrc属性を通じて内容を含めるのを防ぐために、「-f html+raw_html」オプションまたは「–sandbox」オプションを使用することが推奨されています。
「[Pandocのメンテナ]は、iframeのレンダリングが意図された動作であり、ユーザーが入力をサニタイズするか、ユーザー入力を扱う際にサンドボックスフラグを使用する責任があると判断しました」とWizは述べています。
「AmazonはGuardDutyの強化機能とともにIMDSv2の実装を推奨していますが、Amazonの顧客が作成したEC2インスタンスでIMDSv1を使用し、かつ未修正の脆弱なサードパーティ製ソフトウェアを実行している場合、リスクが生じる可能性があります」と当時Mandiantの研究者は警告しました。
組織には、すべてのEC2インスタンスでIMDSv2を強制し、インスタンスには最小権限の原則(PoLP)に従ったロールを割り当てて、IMDSが侵害された場合の影響範囲を限定することが推奨されます。
翻訳元: https://thehackernews.com/2025/09/hackers-exploit-pandoc-cve-2025-51591.html