Bulut Güvenlik Şirketi Wiz, bir Linux yardımcı programında bir güvenlik kusurunun vahşi bir şekilde sömürülmesini ortaya çıkardığını açıkladı. Pandok Amazon Web Hizmetleri (AWS) Örneği Meta Veri Hizmetine (IMDS) sızmak için tasarlanmış saldırıların bir parçası olarak.
Söz konusu güvenlik açığı CVE-2025-51591 (CVSS Puanı: 6.5), saldırganların özel olarak hazırlanmış bir HTML IFRame öğesi enjekte ederek bir hedef sistemden ödün vermesine izin veren bir sunucu tarafı istek ambalajı (SSRF) durumunu ifade eden.
EC2 IMDS, AWS bulut ortamının önemli bir bileşenidir, çalışan örnekleri hakkında bilgi sunar ve bir kimlik ve erişim yönetimi (IAM) rolü örnekle ilişkilendirilirse geçici, kısa ömürlü kimlik bilgileri. Örnek meta verilere, bir Link-Local adresiyle EC2 örneğinde çalışan herhangi bir uygulamaya erişilebilir (169.254.169[.]254).
Bu kimlik bilgileri daha sonra S3, RDS veya DynamODB gibi diğer AWS hizmetleriyle güvenli bir şekilde etkileşim kurmak için kullanılabilir, bu da uygulamaların makine üzerinde kimlik bilgilerini saklamaya gerek kalmadan kimlik doğrulamasına izin verir, böylece kazara maruz kalma riskini azaltmaktadır.
Saldırganların IMDS’den IAM kimlik bilgilerini çalmak için kullanabileceği ortak yöntemlerden biri, web uygulamalarındaki SSRF kusurlarıdır. Bu aslında IMDS hizmetinden IAM kimlik bilgilerini arayan bir istek göndermek için EC2 örneğinde çalışan uygulamayı kandırmayı içerir.
Wiz araştırmacıları Hila Ramati ve Gili Tikochinski, “Uygulama IMDS uç noktasına ulaşabilir ve SSRF’ye duyarlısa, saldırgan herhangi bir doğrudan ana bilgisayar erişimine ihtiyaç duymadan (RCE veya Yol Traversal gibi) geçici kimlik bilgilerini toplayabilir.” Dedi.
Bu nedenle AWS altyapısını hedeflemek isteyen bir düşman, EC2 örneklerinde çalışan web uygulamalarında SSRF güvenlik açıklarını arayabilir ve bulunduğunda meta verilere erişebilir ve IAM kimlik bilgilerini çalabilir. Bu teorik bir tehdit değil.
2022’nin başlarına kadar, Google’a ait Maniant, UNC2903 olarak izlediği bir tehdit aktörünün, Temmuz 2021’den bu yana IMDS kullanılarak elde edilen kimlik bilgilerini kötüye kullanarak AWS ortamlarına saldırdığını (CVE-2021-21311, CVSS, CVSS skoru: 7.2), bir açık source veritabaz yönetimi aracı TFT, uygun hale getirdiğini buldu.
Sorun, özünde, IMD’lerin veya daha spesifik olarak IMDSV1’in bir istek ve yanıt protokolü olduğu gerçeğinden kaynaklanıyor ve bu da IMDSV1’i çalıştıran sömürülebilir web uygulamalarını hedefleyen kötü aktörler için çekici bir hedef haline getiriyor.
Geçen ay yayınlanan bir raporda, SSRF, SSRF’nin AWS gibi bulut altyapısına karşı kullanıldığında, “şiddetli ve geniş kapsamlı” sonuçlara sahip olabileceği ve bulut kimlik hırsızlığı, ağ keşifleri ve iç hizmetlere yetkisiz erişim sağlayabileceği konusunda uyardı.
“SSRF sunucudan kaynaklandığından, çevre güvenlik duvarları tarafından korunan uç noktalara ulaşabilir. Bu, savunmasız uygulamayı bir proxy’ye etkili bir şekilde dönüştürerek saldırganın IP beyaz listelerini atlamasına izin verir. [and] Aksi takdirde ulaşılamayan iç varlıklara ulaşın “dedi.
WIZ’in son bulguları, IMDS hizmetini hedefleyen saldırıların gerçekleşmeye devam ettiğini ve rakiplerin Pandoc gibi az bilinen uygulamalarda SSRF güvenlik açıklarından yararlanmak için gerçekleşmeye devam ettiğini gösteriyor.
“CVE-2025-51591 olarak izlenen güvenlik açığı, pandok oluşturma işleminden kaynaklanıyor
“Saldırgan,
Wiz, oturum odaklı IMDSV2’nin uygulanması nedeniyle saldırının sonuçta başarısız olduğunu ve SSRF saldırısını önce bir jeton almasını ve IMDS’ye özel bir başlık (X-AWS-EC2-Metadata-theen) ile tüm taleplerde kullanmasını gerektirerek azalttığını söyledi.
Şirket, Hacker News’e, “Ağustos ayına kadar uzanan ve birkaç hafta boyunca devam eden” vahşi sömürü girişimlerini gözlemlediğini söyledi, ayrıca bilinmeyen tehdit aktörlerinin bir hedefin Google Cloud platformunu başarısız bir şekilde ihlal etmek için Clickhouse’daki başka bir SSRF kusurunu kötüye kullanma konusunda sürekli çabalar buldu.
Bulut ortamlarında CVE-2025-51591’in ortaya koyduğu riski azaltmak için, pandoc’un SRC özelliği aracılığıyla IFrame elementlerinin içeriğini dahil etmesini önlemek için “-f HTML+RAW_HTML” seçeneğini veya “—sandbox” seçeneğini kullanmanız önerilir.
“[Pandoc maintainers] Wiz, IFREMes’i oluşturmanın amaçlanan davranış olduğuna ve kullanıcının kullanıcı girişlerini kullanırken girişi sterilize etmek veya sanal alan bayraklarını kullanmaktan sorumlu olduğuna karar verdi. “Dedi.
Mantion Researchers, “Amazon, IMDSV2’nin GuardDuty geliştirmeleri ile uygulanmasını önermesine rağmen, Amazon müşterileri tarafından oluşturulan EC2 örnekleri, IMDSV1 kullanan IMDSV1’i kullanan, aynı zamanda açılmamış savunmasız üçüncü taraf yazılımı ile birleştirildiğinde risk altında olabilir.”
Kuruluşların tüm EC2 örneklerinde IMDSV2’yi uygulaması ve örneklerin bir IMDS uzlaşması durumunda patlama yarıçapını içerecek şekilde en az ayrıcalık (POLP) ilkesini izleyen roller atanması önerilir.