IT-Security Step-by-step

Атака Cisco Smart Install и другие - порядок действий для защиты

Подробно: https://www.securitylab.ru/blog/personal/aodugin/343624.php

Андрей Дугин
7 Апреля, 2018
Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.


28 марта опубликованы 2 уязвимости Smart Install:

• Отказа в обслуживании CVE-2018-0156 .


• Выполнения произвольного кода CVE-2018-0171 .

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

• Выполнения произвольного кода сервиса QoS CVE-2018-0151 .


• Получения несанкционированного привилегированного доступа к интерфейсу управления устройством с использованием учетной записи по умолчанию CVE-2018-0150 .

( Read more... )

Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install

Подробно: https://www.securitylab.ru/blog/company/cisco/343634.php

Недавно Cisco узнала о некоторых хакерских группировках, которые выбрали своими мишенями коммутаторы Cisco, используя при этом проблему неправильного использования протокола в Cisco Smart Install Client.



Нейтрализация
Вы можете определить, есть ли у вас устройствас “поднятым” на коммутаторе ПО Cisco Smart Install Client. Запуск команды show vstack config позволит вам определить, активен ли Smart Install Client. Ниже приведен пример такой команды с получением ответа на нее:

switch # show vstack config | inc Role Role: Client (SmartInstall enabled)
( Read more... )

Возможно у Skype скоро будет новый кросс-платформенный клиент под названием Skype for Life



Microsoft закрыла офис в Лондоне:

Microsoft is closing the London office that was home to part of its Skype development, causing the loss of 220 jobs. A further 300 people are losing their jobs in Redmond as Microsoft makes cuts that were previously announced in July.
Moving Skype development to the US also demonstrates Microsoft's continued change of attitude toward Skype.

Microsoft is consolidating offices across London, moving employees to Microsoft’s new office at Paddington. As part of this effort, Microsoft reviewed some London-based roles and made the decision to unify some engineering positions, potentially putting at risk a number of globally focused Skype and Yammer roles. We are deeply committed to doing everything we can to help those impacted through this process. Microsoft will be entering into a consultation process and offer new opportunities, where possible.

Источник: http://arstechnica.com/information-technology/2016/09/microsoft-shuts-down-skype-office-in-london-as-it-develops-yet-another-client

Чрезмерное количество клиентов Skype (традиционный настольный/десктопный клиент Windows desktop app и macOS client; новое универсальное приложение Universal Windows Platform app for Windows 10, мобильные приложения Windows 10 Mobile, iOS и Android; клиент Skype для Web; и базирующееся на Web автономное приложение для Linux, которое имеет сборки, работающие под Windows тоже) послужило одной из причин разработки нового кросс-платформенного клиента для Windows, Linux, MacOS, iOS, and Android.

Время покажет правда ли это.

Кстати - Слухи: Skype готовит новый кросс-платформенный клиент под названием Skype for Life