Il nuovo V18 Update 7A Alpha è tutto incentrato sulla sicurezza

Primi passi verso il piano d’azione “Security Charter EFTA”.

Come promesso nel nostro sneak peek Update 7A – Focus sulla sicurezza, oggi rilasciamo l’Update 7A – Alpha. Si tratta di un aggiornamento incentrato sulla sicurezza. Continuate a leggere per saperne di più sulle funzionalità aggiunte, sui 5 punti chiave da considerare e sulle azioni da intraprendere! Infine, se state utilizzando l’App Desktop per l’Update 7, attualmente in commercio, ci sono alcune limitazioni note.

Hashing delle password

Riconoscendo la necessità di affrontare questa buona pratica nell’Update 7A e come parte del nostro costante impegno a migliorare e potenziare le funzioni di sicurezza dei nostri prodotti, in questo aggiornamento tutte le password web sono sottoposte a hashing nel sistema. Ciò significa che il sistema ha effettuato una conversione che raccoglie tutte le password correnti e le sottopone a hashing. Da un punto di vista pratico, gli utenti possono ancora accedere con la loro password attuale. Tuttavia, consigliamo di cambiare regolarmente la password.

Come abbiamo sottolineato nel nostro blog precedente, al momento l’hashing delle password si applica solo al login del web client. Per motivi di retrocompatibilità, non verranno sottoposti a hashing l’ID, la password di autenticazione SIP, le password del trunk e del gateway SIP o le password del tunnel. Se violate, queste credenziali possono essere utilizzate solo per ottenere l’accesso alle chiamate del PBX ma non possono essere utilizzate per accedere al core del PBX. Tuttavia, nelle versioni future, queste password saranno rese anonime.

Eliminazione della password e del file di configurazione dall’email di benvenuto

In precedenza, l’email di benvenuto conteneva la password del web client e, come già detto, il file di configurazione per la vecchia configurazione dell’app. Oltre al file di configurazione, anche la password del web client è stata rimossa dall’email di benvenuto. Ciò significa che è necessario adottare alcune misure importanti:

Impostare la password utente prima dell’accesso
Utilizzare il codice QR per eseguire il provisioning dell’app per Android e/o iOS.

Accesso limitato dell’admin del web client per IP

L’accesso per IP alla Console di gestione poteva già essere limitato. Ora, tuttavia, è possibile farlo anche per gli amministratori di sistema che hanno accesso alla sezione amministrativa del web client.

Aggiunta dei BLF nel dialer del web client e della PWA

Anche se non si tratta di una funzione di sicurezza in sé, la mancanza della funzione BLF nella PWA è stata citata nel forum, come motivo principale per non usarla. Per risolvere questo problema, abbiamo aggiunto i BLF nel dialer del web client e della PWA. Come abbiamo detto, la PWA è più facile da usare e sicura, quindi è ancora altamente raccomandata.

Da un punto di vista pratico, questa funzione imita un telefono fisso che mostra BLF simili a quelli di un telefono fisso. Non solo viene mostrato lo stato di un utente, ma consente anche di effettuare trasferimenti con un semplice clic. Se siete un amministratore, potete configurare i BLF per tutti gli utenti andando su “Admin > Utenti > Aggiungi / Modifica utente” e poi sulla scheda BLF. Se siete un utente, potete configurare i vostri BLF andando su “Impostazioni > BLF”.

Prendete nota! 5 punti importanti

Abbiamo 5 cose importanti da farvi notare e su cui intervenire.

Prima di aggiornare il PBX, assicurarsi di eseguire un backup. Una volta completato l’aggiornamento, tutte le password verranno sottoposte a hash e non saranno più accessibili. Gli utenti saranno in grado di accedere con la loro password attuale, ma come detto, consigliamo di cambiarla regolarmente!
Abbiamo aggiornato le email di benvenuto per supportare la funzione “Imposta/Ripristina password”. Se si utilizza un modello di email personalizzato, è necessario modificarlo per includere la nuova variabile email.
Abbiamo rimosso l’opzione “Reinvio delle credenziali” dalle impostazioni del web client. È ora possibile selezionare “Password dimenticata” dalla schermata di accesso.
Grazie all’hashing delle password, non possiamo più sapere se una password è sicura o meno. Ciò significa che il vecchio avviso “password debole” è stato rimosso dal prodotto.
Tutte le nostre build sono state esaminate da VirusTotal. A ieri 24 aprile 2023 sono stati rilevati zero (0) minacce.

L’app Desktop Electron non è stata aggiornata nella build numero 18.12.425

Si ricorderà che l’app Electron per Windows Update 7 è stata controllata dai nostri consulenti Mandiant, che non hanno trovato alcuna prova di compromissione. In questa release, tuttavia, l’app Desktop Electron non verrà aggiornata. Ciò significa che se state utilizzando l’applicazione Desktop attualmente rilasciata per Update 7, questa continuerà a funzionare ma con delle limitazioni. Ecco un riepilogo di ciò che ci si può aspettare:

Anche se abilitata, la restrizione Console /Admin non sarà accessibile.
Non sarà possibile scaricare i file di provisioning per l’app Windows nella pagina delle applicazioni.
La funzione “Cambia password” non funzionerà anche se abilitata a livello globale.

Correzioni previste con l’Update 7 BETA

A causa di alcuni aggiornamenti ai nostri pacchetti interni, il web client in Safari non funzionerà.
Durante la revisione della PWA 3CX è stato riscontrato un bug per cui, a seconda del browser utilizzato, il logo di Chrome o Edge sotto l’avatar non viene mostrato per la prima volta se un nuovo utente effettua il login. Ciò significa che l’utente non può installare la PWA.

Come ottenere l’Update 7A Alpha

Gli utenti possono accedere all’aggiornamento come segue:

Utenti Windows e Linux Debian 10
- Accedere alla console di gestione
- Aggiornare a “Nuovo aggiornamento 18.0 7A Alpha Security”.

Gli utenti StartUP, gli attuali NFR, i trial e le istanze commerciali in esecuzione su 3CX Hosted saranno aggiornati (al di fuori degli orari di ufficio configurati) quando verrà rilasciato l’U7A Final.

Consultate il changelog completo.