Облачната сигурност е под заплаха след като компанията за киберсигурност Wiz разкри, че хакери използват уязвимост в популярния Linux инструмент Pandoc, за да атакуват услугите на Amazon Web Services (AWS). Проблемът е свързан със сериозна уязвимост, която позволява на злонамерени лица да получат достъп до чувствителна информация в облака. Ето какво трябва да знаете за този случай и как да защитите системите си.
Каква е уязвимостта?
Уязвимостта, известна като CVE-2025-51591, е от тип Server-Side Request Forgery (SSRF), което на прост език означава, че хакерите могат да подмамят уеб приложение да изпрати заявка към вътрешни ресурси, до които обикновено нямат достъп. В случая, атаките целят AWS Instance Metadata Service (IMDS) – услуга, която предоставя информация за виртуалните машини (инстанции) в облака на AWS, включително временни идентификационни данни за достъп.
Тези данни са изключително важни, защото позволяват на приложенията да работят с други AWS услуги, като например съхранение на данни в S3 или бази данни като RDS и DynamoDB, без да е необходимо да се съхраняват пароли в самата машина. Това намалява риска от изтичане на данни, но ако хакерите успеят да откраднат тези данни чрез SSRF атака, те могат да получат достъп до чувствителни ресурси в облака.
Как работи атаката?
Атаката използва уязвимост в Pandoc – инструмент, който се използва за конвертиране на документи между различни формати, например от Markdown към HTML. Проблемът идва от начина, по който Pandoc обработва HTML елементи, наречени iframe. Тези елементи могат да бъдат манипулирани от хакери, за да насочат заявки към вътрешния адрес на IMDS (169.254.169.254), където се съхраняват чувствителните данни.
Според изследователите от Wiz, хакерите изпращат специално създадени HTML документи, съдържащи iframe елементи, които „подмамват“ приложението да поиска информация от IMDS. Ако приложението е уязвимо и работи на сървър с активиран IMDSv1 (по-стара и по-рискова версия на услугата), хакерите могат да откраднат временни идентификационни данни, без да имат директен достъп до машината.
Защо това е сериозно?
SSRF атаките са особено опасни, защото позволяват на хакерите да заобиколят защитните стени и да достигнат до вътрешни ресурси, които обикновено са защитени. В случая с AWS, това може да доведе до:
Това не е първият случай на подобни атаки. Още през 2021 година експерти от Mandiant (компания, собственост на Google) откриха, че хакерска група, известна като UNC2903, е използвала подобна SSRF уязвимост в инструмент за управление на бази данни, за да открадне данни от AWS среди.
Какво прави Wiz?
Експертите от Wiz съобщиха, че са наблюдавали опити за експлоатация на тази уязвимост още от август 2025 година, като атаките са продължили няколко седмици. Те отбелязват, че атаките са били неуспешни, защото целите са използвали IMDSv2 – по-сигурна версия на услугата, която изисква специален токен за всяка заявка. Това предотвратява лесното използване на SSRF за кражба на данни.
Освен това, Wiz откриха опити за атака срещу друга облачна платформа – Google Cloud Platform – чрез подобна уязвимост в софтуера ClickHouse. Това показва, че хакерите активно търсят слаби места в различни облачни среди.
Как да се предпазим?
За да се защитят от тази уязвимост, организациите, които използват Pandoc и AWS, трябва да предприемат следните стъпки:
Какво казват експертите?
Според Wiz, разработчиците на Pandoc смятат, че обработката на iframe елементи е нормално поведение на софтуера и че потребителите трябва сами да защитават своите системи, като използват подходящи настройки или филтрират входящите данни. Това поставя отговорността върху потребителите да бъдат внимателни при работа с непроверени документи.
От друга страна, експерти от Mandiant и Resecurity предупреждават, че комбинацията от уязвими приложения и по-стари версии като IMDSv1 може да бъде пагубна. Те препоръчват на компаниите редовно да проверяват своите облачни среди и да използват инструменти като GuardDuty на AWS за по-добра защита.
Заключение
Уязвимостта в Pandoc е поредното напомняне, че киберсигурността в облачните среди изисква постоянна бдителност. Хакерите непрекъснато търсят нови начини да експлоатират дори малко известни инструменти, за да получат достъп до чувствителна информация. Компаниите, които използват AWS и други облачни платформи, трябва да действат бързо, за да защитят своите системи, като следват препоръките за сигурност и поддържат софтуера си актуален.
Ако управлявате облачна инфраструктура, не чакайте да станете мишена – предприемете стъпки за защита още днес! За повече информация относно сигурността на AWS, можете да посетите официалния сайт на Amazon или да се консултирате с експерти по киберсигурност.
