行业新闻与博客

两名民主党参议员要求调查亚马逊网络服务（AWS）是否因未能保护因 Capital One 漏洞而受损的基础设施而违反法律。

检察官指控前 AWS 软件工程师 Paige Thompson 袭击了美国银行和其他 30 个组织。据说已经影响到大约 1 亿美国和加拿大的客户以及该金融机构的申请人，包括消费者和小型企业。

迄今为止，报告集中在由银行在 AWS 云中托管的配置错误的 Web 应用程序防火墙（WAF）作为攻击的主要因素。

具体来说，汤普森被认为利用此漏洞进行了服务器端请求伪造（SSRF）攻击，诱使 WAF 运行运行不允许的命令，这些命令使她可以与 AWS “元数据”服务进行对话，以获取关键证书。

但是，在事件发生后，安全专家认为 AWS 应该做更多的事情来实施缓解措施，以帮助防止对其平台进行 SSRF 攻击。

Cloudflare 的埃文·约翰逊（Evan Johnson）表示：“通过提供公共云，SSRF 的影响正在恶化，而 AWS 等主要参与者也没有采取任何措施对其进行修复。”

现在，参议员罗恩·怀登（Ron Wyden）和伊丽莎白·沃伦（Elizabeth Warren）给 FTC 开了一封公开信，要求联邦调查委员会调查“亚马逊未能确保其租借给 Capital One 的服务器的安全可能违反了联邦法律。”

它指出，尽管谷歌和微软都已采取措施保护客户免受 SSRF 攻击，但“亚马逊仍在向企业，政府机构和公众出售有缺陷的云计算服务。”

AWS 可能会拒绝这种说法，但是，正如它过去所争论的那样，如果 Capital One 没有错误地配置其 WAF，那么 SSRF 攻击是不可能的。

实际上，SSRF 声称，SSRF 只是可以用来访问银行数据的几种技术之一。

非常感谢您对亚洲注册的支持与信任！

禁止转载