What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Cisco FMC Zero-Day: 36 Días con Ransomware en tu Red

36 Días de Zero-Day: La Cronología que Nadie Quería Ver

El 26 de enero de 2026, el grupo de ransomware Interlock comprometió el primer firewall Cisco usando una vulnerabilidad que el mundo no sabía que existía. Cisco publicó el parche el 4 de marzo — 36 días después. Durante ese mes y pico, cualquier organización con Cisco Secure Firewall Management Center (FMC) expuesto a internet estaba potencialmente comprometida.

Fue el equipo de inteligencia de amenazas de Amazon quien detectó la campaña activa y alertó públicamente. El propio CISO de AWS, CJ Moses, confirmó el hallazgo. La vulnerabilidad es CVE-2026-20131 y su puntuación CVSS es 10.0 — el máximo posible.

No es una vulnerabilidad teórica. Es ransomware real, en infraestructura real, corriendo como root en el corazón de la red de sus víctimas.

Qué es CVE-2026-20131 y Por Qué el CVSS es 10.0

CVE-2026-20131 es una falla de ejecución remota de código (RCE) en la interfaz web de administración de Cisco Secure FMC. La interfaz procesa peticiones HTTP sin autenticación antes de deserializar objetos Java — un error de diseño clásico con consecuencias devastadoras.

El resultado: un atacante remoto, sin credenciales, puede ejecutar código arbitrario como root en el servidor FMC. Sin usuario. Sin contraseña. Sin necesidad de engañar a ningún empleado. Solo HTTP y conocimiento de la vulnerabilidad.

El CVSS 10.0 se justifica por tres razones:

Vector de ataque: Red — explotable remotamente por internet
Sin autenticación requerida — cualquiera puede intentarlo
Impacto completo — confidencialidad, integridad y disponibilidad del sistema comprometidas al 100%

Cisco FMC es el cerebro de las redes empresariales que usan firewalls Cisco. Quien controla el FMC, controla la visibilidad y las políticas de seguridad de toda la red.

Cómo Opera Interlock Una Vez Dentro

Interlock no es un grupo nuevo ni amateur. Desde 2024 han atacado hospitales, municipios y empresas de manufactura. Su modus operandi con CVE-2026-20131 sigue un patrón documentado por Amazon Threat Intelligence:

Reconocimiento: Escanean internet en busca de interfaces FMC accesibles (puerto 443/HTTPS). Herramientas como Shodan facilitan esto en minutos.
Explotación: Lanzan el exploit RCE sin autenticación, obteniendo shell como root en el servidor FMC.
Movimiento lateral: Desde el FMC con acceso root, pivotean hacia la red interna. Estudian la topología, identifican activos críticos, roban credenciales.
Exfiltración: Extraen datos sensibles antes de cifrar — doble extorsión garantizada.
Ransomware: Despliegan el payload. Cifran servidores, backups, y bases de datos.

El tiempo promedio entre compromiso inicial y despliegue de ransomware para Interlock es de 5-14 días. Silencioso, metódico, costoso.

Quién Está en Riesgo

Cisco Secure FMC es usado principalmente por empresas medianas y grandes, gobiernos e ISPs. Pero el riesgo se extiende:

Empresas con Cisco Firepower: Si tienes firewalls Cisco Firepower (1000, 2100, 4100, 9300 series) o ASA con módulo Firepower, probablemente tengas un FMC.
Proveedores de servicios gestionados (MSPs): Un FMC comprometido puede dar acceso a decenas de clientes simultáneamente.
Cualquier FMC con interfaz de gestión expuesta a internet: Una mala práctica común que convierte esta vulnerabilidad en trivialmente explotable.

Shodan muestra miles de instancias FMC accesibles desde internet. Si la tuya es una de ellas y no aplicaste el parche de marzo, asume compromiso y actúa ahora.

Qué Hacer Ahora: 5 Pasos Inmediatos

No hay tiempo para planificación larga. Estos son los pasos urgentes:

Verificar versión y parchear: El parche está disponible desde el 4 de marzo de 2026. Aplica la actualización a Cisco Secure FMC inmediatamente. Las versiones afectadas incluyen todas las anteriores al fix publicado en el advisory oficial de Cisco.
Aislar la interfaz de gestión: La interfaz web del FMC nunca debería estar expuesta directamente a internet. Accede solo desde una red de gestión dedicada o VPN. Si está expuesta, desconéctala ahora mismo.
Buscar indicadores de compromiso: Revisa logs del FMC desde el 26 de enero. Busca peticiones HTTP anómalas hacia la interfaz de administración, nuevos usuarios creados, cambios en políticas, o conexiones salientes inusuales.
Auditar movimiento lateral: Si tienes indicios de compromiso, asume que el atacante pivotó a tu red interna. Revisa logs de Active Directory, accesos RDP, y transferencias de datos inusuales.
Activar respuesta a incidentes: Si encontraste evidencia de intrusión, aísla los sistemas afectados, preserva los logs (no los borres), y contacta a especialistas en respuesta a incidentes. El tiempo de contención importa más que el tiempo de investigación en las primeras horas.

El Costo de Ignorar un CVSS 10.0

Los números son concretos: el ransomware promedio le costó a empresas medianas $1.85 millones en 2025 según IBM, incluyendo tiempo de inactividad, recuperación, y pérdida de negocio. Para los sectores que Interlock ha atacado —salud, manufactura, servicios— una semana sin sistemas operativos puede ser existencial.

La brecha de Marquis, divulgada esta semana, expuso los datos de 672,000 personas por un ataque de ransomware a su proveedor de software bancario. Una sola organización comprometida en la cadena de suministro expone a cientos de miles de clientes finales.

Parchear un sistema crítico toma horas. Recuperarse de ransomware toma semanas. La aritmética es sencilla.

Si quieres saber si tu infraestructura tiene exposiciones críticas como esta — FMC accesible, servicios mal configurados, superficies de ataque que no ves — en Sable hacemos ese análisis. También puedes revisar nuestro research sobre vulnerabilidades críticas en producción para entender cómo estos ataques escalan.