I. 報導摘要與漏洞詳情

雲端安全公司 Wiz透露，它發現了針對 Linux 實用程式Pandoc的安全漏洞的野外利用，這是旨在滲透亞馬遜網路服務 (AWS) 實例元資料服務 (IMDS) 的攻擊的一部分。

此漏洞編號為 CVE-2025-51591（CVSS 評分：6.5），屬於伺服器端請求偽造 (SSRF) 漏洞，攻擊者可以透過注入特製的 HTML iframe 元素來入侵目標系統。

EC2 IMDS是 AWS 雲端環境的關鍵元件，它提供有關正在運行執行個體的信息，如果執行個體關聯了身分和存取管理 (IAM) 角色，則也會提供臨時的短期憑證。攻擊者從 IMDS 竊取 IAM 憑證的常用方法之一是利用 Web 應用程式中的 SSRF 漏洞。這本質上是欺騙在 EC2 執行個體上運行的應用程序，使其代表自己向 IMDS 服務發送請求，以獲取 IAM 憑證。

研究人員進一步指出，駭客提交了包含 <iframe> 元素的特製 HTML 文件，其 src 屬性明確指向 AWS IMDS 的鏈路本地地址（169.254.169.254）。攻擊的目標是渲染並竊取敏感路徑，例如 /latest/meta-data/iam/info 和 /latest/meta-data/iam 的內容。這種攻擊模式凸顯了在雲端環境中，即使是一個看似無害的應用程式漏洞，也可能被惡意行為者利用來進行大規模憑證竊取，進而導致整個雲端資源遭到接管。

II. SSRF在雲端環境的威脅與防禦策略

SSRF 漏洞對雲端基礎設施構成嚴重威脅。Wiz 研究人員提到，若應用程式能夠訪問 IMDS 端點且易受 SSRF 攻擊，攻擊者無需獲得直接主機存取權限（例如遠端程式碼執行或路徑遍歷），即可獲取並竊取臨時憑證。這有效地將易受攻擊的應用程式轉變為代理，允許攻擊者繞過周邊防火牆或 IP 白名單，到達原本無法觸及的內部資產，進行網路偵察或未經授權的存取。

這類攻擊並非新鮮事。Google旗下的Mandiant就曾追蹤到駭客組織UNC2903自2021年7月以來，持續透過利用開源資料庫管理工具Adminer中的SSRF漏洞（CVE-2021-21311），成功獲取IMDS憑證並攻擊AWS環境的案例，證明這是駭客針對雲端環境的持久性威脅手法。

值得注意的是，Wiz 在這次事件中觀察到的攻擊嘗試最終並未成功，主要原因在於目標系統實施了 IMDSv2。IMDSv2 作為面向會話（session-oriented）的協定，要求用戶在發送元數據請求前，必須先透過一個專門的請求獲取臨時令牌，並在後續的所有 IMDS 請求中，透過特殊的標頭（X-aws-ec2-metadata-token）使用該令牌。這種機制有效阻止了傳統 SSRF 攻擊僅靠單一請求就能竊取憑證的可能。

針對 Pandoc 應用層面的漏洞，雖然維護者將輸入淨化和使用沙箱標誌（--sandbox）的責任歸於使用者，組織仍應採取具體措施：建議運營商在使用 Pandoc 處理來自使用者輸入的 HTML 文件時，應強制使用 -f html+raw_html 選項或 --sandbox 選項，以防止 <iframe> 元素透過 src 屬性包含外部內容。

整體而言，為有效減輕此類雲端憑證竊取風險，組織應採取兩大關鍵防禦策略：在雲端架構層面，必須全面強制實施 IMDSv2 於所有 EC2 執行個體；同時，確保分配給執行個體的 IAM 角色嚴格遵循最小權限原則（PoLP），以將萬一發生 IMDS 洩露時的潛在衝擊範圍降到最低。這是保護雲端資源免受 SSRF 攻擊的關鍵。