Vulnerability Scanning - Nmap, Nessus, OpenVAS - Cybersecurity

מרץ 2019. Capital One, אחד מבנקי הכרטיסים הגדולים בארה"ב, מאחסן מידע של 100 מיליון לקוחות ב-AWS. יש להם תוכנית vulnerability management. יש להם צוות אבטחה. יש להם WAF - Web Application Firewall - שאמור להגן על התשתית.

בפועל, ה-WAF הזה מוגדר בצורה שגויה. הוא מאפשר SSRF - Server-Side Request Forgery - מה שמאפשר לתוקף לשלוח בקשות מ-WAF עצמו לשירותים פנימיים ב-AWS. שירות ה-metadata של AWS, שמחזיר credentials זמניים ל-EC2 instances, נחשף לחלוטין. Paige Thompson, לשעבר מהנדסת AWS, ניצלה את זה ושאבה 100 מיליון רשומות.

ה-CISO של Capital One העיד שיש להם תוכנית vulnerability management. אבל היא לא כיסתה assets בענן באופן עקבי. ה-WAF הזה לא נסרק. לא אחת. scanner שהיה רץ נגדו היה מדגיש את ה-SSRF misconfiguration. קנס של 80 מיליון דולר ו-100 מיליון רשומות - בגלל asset אחד שהחמיץ את ה-scanner.

Capital One 2019 - customer records exfiltrated via SSRF on unscanned WAF

זה vulnerability scanning - ולמה הוא חשוב מספיק לגרום לאחד הבנקים הגדולים בעולם לשלם מחיר כזה.

Capital One 2019 - customer records exfiltrated via SSRF on unscanned WAF

זה vulnerability scanning - ולמה הוא חשוב מספיק לגרום לאחד הבנקים הגדולים בעולם לשלם מחיר כזה.