Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

La puerta trasera de Pandoc: cómo una simple herramienta de documentos se convirtió en una vía para el robo de credenciales de AWS

Hackers explotan una vulnerabilidad poco conocida en Pandoc para secuestrar credenciales en la nube de AWS, exponiendo riesgos ocultos en el software cotidiano y desatando una nueva ola de temores sobre la seguridad en la nube.

Datos rápidos

  • Pandoc, un conversor de documentos popular, es vulnerable a CVE-2025-51591, una falla de Server-Side Request Forgery (SSRF).
  • Los atacantes utilizan esta falla para apuntar al Instance Metadata Service (IMDS) de AWS y robar credenciales IAM de EC2.
  • Las credenciales de IMDS permiten el acceso a recursos críticos de AWS como S3, RDS y DynamoDB sin almacenar contraseñas en disco.
  • La aplicación del protocolo IMDSv2 actualizado de AWS puede bloquear estos ataques, pero muchos sistemas aún utilizan el antiguo y vulnerable IMDSv1.
  • Se han visto exploits SSRF similares en la naturaleza, incluidos ataques que aprovechan herramientas de código abierto como Adminer y ClickHouse.

Una puerta oculta en la nube

Imagina a un ladrón colándose por la ranura del correo en lugar de por la puerta principal. Ese es el tipo de sutileza que los hackers han empleado al atacar Pandoc, una herramienta conocida principalmente por convertir documentos, no por abrir agujeros de seguridad. Sin embargo, como descubrieron recientemente los investigadores de Wiz, una falla en la forma en que Pandoc procesa ciertos elementos HTML permitió a los atacantes engañarlo para filtrar las llaves de la nube: credenciales temporales de AWS utilizadas por servidores virtuales (instancias EC2).

Anatomía del ataque

El culpable, CVE-2025-51591, es un término técnico complicado pero se reduce a esto: Pandoc, al manejar un archivo HTML manipulado con un iframe incrustado, podría ser manipulado para obtener datos de direcciones internas sensibles. En AWS, esto significa la dirección especial de “metadata” (169.254.169.254), que entrega credenciales de corta duración a aplicaciones que se ejecutan en servidores en la nube. Normalmente, este sistema es una conveniencia - permitiendo que los programas accedan de forma segura a bases de datos y almacenamiento en la nube sin codificar secretos. Pero si un atacante logra que Pandoc solicite datos de esta dirección, puede capturar esas credenciales y usarlas para moverse por el entorno en la nube de la víctima.

Esta técnica, conocida como SSRF, ha acechado los entornos en la nube durante años. Ya en 2021, Mandiant de Google descubrió ataques similares explotando Adminer, otra herramienta de código abierto, para robar credenciales de AWS y exfiltrar datos. El hilo común: una aplicación vulnerable ejecutándose dentro de la nube, actuando sin saberlo como proxy para el hacker.

Una carrera entre hackers y defensores

Lo que hace alarmante esta última ola no es solo el objetivo poco común - pocos sospecharían que un conversor de documentos representa un riesgo en la nube - sino la persistencia de viejas debilidades. A pesar del lanzamiento por parte de Amazon de IMDSv2, que requiere un paso adicional de autenticación y bloquea estos ataques, muchas organizaciones aún ejecutan el antiguo IMDSv1, dejándolas expuestas. El informe de Wiz señala que, aunque el ataque observado falló gracias a IMDSv2, los intentos han continuado y fallas SSRF similares en otros programas siguen siendo atacadas activamente.

Expertos en seguridad en la nube advierten que el impacto puede ser “grave y de gran alcance”, permitiendo a los atacantes no solo robar credenciales sino también mapear redes internas y eludir cortafuegos. La lección: no confíes en ningún eslabón de la cadena, por mundano que sea, y aplica siempre el principio de menor privilegio - otorgando solo el acceso mínimo necesario a cada aplicación y usuario.

La frontera digital se construye sobre capas de conveniencia y confianza, pero como muestra este episodio, incluso las herramientas más humildes pueden convertirse en cómplices involuntarios. A medida que los atacantes se vuelven más astutos, los guardianes de la nube deben permanecer vigilantes, parcheando tanto las puertas evidentes como las ranuras ocultas de correo de sus dominios digitales.

WIKICROOK

  • Servidor: Un servidor es una computadora o software que proporciona datos, recursos o servicios a otras computadoras, llamadas clientes, a través de una red.
  • Instance Metadata Service (IMDS): Instance Metadata Service (IMDS) permite a los servidores en la nube acceder a información y credenciales sobre sí mismos, pero un uso inadecuado puede exponer datos sensibles.
  • Credenciales IAM de EC2: Las credenciales IAM de EC2 son claves temporales otorgadas a instancias EC2 de AWS, permitiendo un acceso seguro y de corta duración a otros servicios de AWS sin secretos permanentes.
  • IMDSv1 vs. IMDSv2: IMDSv1 es un método antiguo para acceder a los metadatos de instancias en la nube, mientras que IMDSv2 utiliza tokens de seguridad para proteger contra accesos no autorizados y ataques.
  • Pandoc: Pandoc es una herramienta de código abierto que convierte documentos entre formatos. Su manejo de HTML puede suponer riesgos de seguridad si no se gestiona adecuadamente.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news