Descubren explotación activa de una vulnerabilidad SSRF en Pandoc que compromete AWS IMDS

Introducción

Recientes investigaciones desveladas por el equipo de seguridad de Wiz han puesto de manifiesto la explotación activa de una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en Pandoc, una popular utilidad de conversión de documentos en entorno Linux. Esta brecha, catalogada como CVE-2025-51591 y con una puntuación CVSS de 6.5, ha sido utilizada en ataques dirigidos contra la Amazon Web Services Instance Metadata Service (AWS IMDS). El incidente subraya la creciente sofisticación de las amenazas que afectan a entornos cloud y la importancia de una gestión proactiva de vulnerabilidades en componentes aparentemente secundarios pero críticos en la cadena de suministro de software.

Contexto del Incidente

El descubrimiento se produjo tras la detección de intentos de acceso no autorizado a credenciales en entornos AWS a través del abuso de la IMDS. Pandoc, ampliamente utilizado en automatización de flujos de trabajo y sistemas de procesado de documentos, fue identificado como el vector de entrada. A pesar de no tratarse de una herramienta de seguridad per se, su integración frecuente en pipelines CI/CD y servidores de aplicaciones la convierte en un objetivo atractivo para atacantes en busca de movimiento lateral o escalada de privilegios dentro de infraestructuras cloud.

AWS IMDS es un servicio que expone metadatos y, en algunos casos, credenciales temporales asociadas a instancias EC2. La explotación de vulnerabilidades SSRF en servicios internos, como Pandoc, permite a los actores de amenazas interactuar con la IMDS desde servicios legítimos, eludiendo controles perimetrales tradicionales.

Detalles Técnicos: CVE-2025-51591 y Técnicas de Ataque

La vulnerabilidad CVE-2025-51591 afecta a versiones de Pandoc anteriores a la 3.2.0. El fallo reside en el procesamiento no seguro de URLs de entrada, permitiendo que un atacante remoto, mediante la manipulación de parámetros, fuerce a Pandoc a realizar peticiones HTTP hacia recursos internos arbitrarios. Esta condición habilita ataques SSRF, alineados con la técnica T1190 (Exploit Public-Facing Application) y T1505.003 (Server Software Component: Web Services) del framework MITRE ATT&CK.

En el caso analizado, los atacantes explotaron la vulnerabilidad para dirigir peticiones hacia la endpoint de la IMDS (169.254.169.254), obteniendo así tokens de acceso y credenciales AWS temporales asociadas al rol de la instancia. La explotación fue observada en entornos productivos y automatizada mediante scripts, aunque ya se han reportado PoC y módulos de explotación en frameworks como Metasploit.

Indicadores de Compromiso (IoC) asociados incluyen logs de acceso HTTP internos desde procesos Pandoc, peticiones inusuales hacia la dirección IP de IMDS y patrones de uso de credenciales AWS no habituales posteriores a la ejecución del binario vulnerable.

Impacto y Riesgos

El impacto potencial de esta vulnerabilidad es significativo en entornos cloud, especialmente donde Pandoc se utiliza como servicio expuesto o en contextos multiusuario. Un atacante con capacidad para enviar documentos o URLs maliciosas a Pandoc puede comprometer credenciales temporales AWS, posibilitando la escalada de privilegios, el acceso a recursos S3, EC2 y otros servicios cloud, así como la persistencia y el movimiento lateral.

Según datos de Wiz, al menos un 12% de las organizaciones analizadas utilizaban versiones afectadas de Pandoc en pipelines de producción. El impacto económico potencial, considerando incidentes previos de robo de credenciales en cloud, puede superar el millón de euros por brecha, sin contar sanciones asociadas a GDPR o NIS2 por pérdida o exposición de datos personales y críticos.

Medidas de Mitigación y Recomendaciones

Se recomienda actualizar Pandoc a la versión 3.2.0 o superior, donde el tratamiento de URLs ha sido reforzado y se han incorporado controles adicionales para limitar el acceso a recursos internos. Adicionalmente, se aconseja:

– Restringir el acceso a la IMDS desde procesos no autorizados mediante políticas de firewall a nivel de host o VPC.
– Monitorizar logs de Pandoc y tráfico hacia 169.254.169.254.
– Revisar y limitar los permisos de roles AWS asociados a instancias susceptibles.
– Implementar controles de validación de entrada en servicios que interactúen con Pandoc.
– Considerar el uso de IMDSv2, que mitiga ataques SSRF requiriendo tokens de sesión.

Opinión de Expertos

Especialistas en seguridad cloud, como Fernando Muñoz (CISO de una multinacional tecnológica), subrayan que “la explotación de servicios auxiliares mediante SSRF es una de las vías de ataque más infravaloradas en entornos cloud. La falta de visibilidad sobre el uso de herramientas como Pandoc en pipelines DevOps multiplica los riesgos”.

Por su parte, el equipo de respuesta de Wiz enfatiza la necesidad de “tratar cualquier componente con acceso a servicios internos como potencial vector de compromiso, especialmente cuando se ejecuta en entornos compartidos o automatizados”.

Implicaciones para Empresas y Usuarios

Las empresas que dependen de flujos de trabajo automatizados en AWS deben auditar urgentemente el uso de Pandoc y otros componentes susceptibles de SSRF. Más allá de la actualización puntual, el incidente revela la importancia de una gestión integral de la superficie de ataque, la segmentación de servicios y la formación continua de equipos DevSecOps.

Los usuarios y desarrolladores deben evitar exponer servicios de conversión de documentos a la red pública y aplicar controles de acceso y autenticación robustos en cualquier interfaz susceptible de recibir entradas externas.

Conclusiones

La explotación de CVE-2025-51591 en Pandoc demuestra cómo vulnerabilidades en utilidades aparentemente inofensivas pueden tener consecuencias graves en arquitecturas cloud modernas. La proactividad en la gestión de vulnerabilidades, la segmentación de servicios y la monitorización de comportamientos anómalos son esenciales para mitigar riesgos en entornos AWS y similares. La colaboración entre equipos de desarrollo, operaciones y seguridad se perfila como la mejor defensa ante amenazas de esta naturaleza.

(Fuente: feeds.feedburner.com)