Primeiros passos para o plano de ação de 7 etapas ‘EFTA’ em andamento

Conforme prometido em nossa prévia da Atualização 7A – Foco na Segurança, lançamos a Atualização 7A – Alpha hoje. Permanece sendo tudo sobre segurança. Continue lendo para saber mais sobre os recursos adicionados, os 5 pontos principais a serem considerados – bem como a ação que você precisa executar! E, finalmente, se você estiver usando o Desktop App lançado atualmente para a Atualização 7, existem algumas limitações conhecidas. Confira!

Hashing de Senhas

Reconhecendo a necessidade de abordar essa boa prática na Atualização 7A, e como parte de nosso compromisso contínuo de melhorar e aprimorar os recursos de segurança de nossos produtos, nesta atualização todas as senhas da web são criptografadas no sistema. Isso significa que uma conversão foi feita pelo serviço do sistema que obtém todas as senhas atuais e as hashes. Assim, do ponto de vista prático, os usuários ainda podem fazer login com sua senha atual, no entanto recomendamos alterar a senha regularmente.

Conforme descrevemos em nosso blog anterior, no momento o hashing de senhas se aplica apenas ao login do Web Client. Por motivos de compatibilidade com versões anteriores, não usaremos hashing de ID e senha de autenticação SIP, senhas de tronco e gateway SIP ou senhas de túnel. Se invadidas, essas credenciais só podem ser usadas para obter acesso de chamada ao PBX. Ou seja, eles não podem ser elevados para fazer login no PBX. No entanto, em compilações futuras, também faremos o hashing dessas senhas.

Remoção de Senha e Arquivo de Config. do E-mail de Boas-Vindas

Anteriormente, o E-mail de Boas-Vindas continha a senha do Web Client – e, como já mencionado, o arquivo de configuração para a configuração antiga do aplicativo. Junto com o arquivo de configuração, a senha do Web Client também foi removida do e-mail de boas-vindas. Isso significa que você precisa tomar algumas medidas importantes:

  1. Defina sua senha de usuário antes do login
  2. Use o QR code para provisionar seu app Android e/ou iOS

Restringindo o Acesso de Web Admin do Web Client por IP

O acesso por IP para o Console de Gerenciamento já pode estar limitado. Agora, no entanto, você também pode fazer isso para Administradores do sistema que têm acesso à seção Admin no Web Client.

Visualização BLF Adicionada no Discador do Web Client & PWA

Visualização BLF adicionada no discador do Web Client e do PWA

Embora não seja um recurso de segurança per se, a falta do recurso BLF no PWA foi citada como um dos principais motivos para não começar a usá-lo. Para resolver isso, adicionamos a visualização BLF no discador do Web Client e do PWA. Como discutimos, o PWA é mais fácil de manter e proteger, e, por isso, ainda é altamente recomendado.

Do ponto de vista prático, esse recurso imita um deskphone mostrando BLFs semelhantes a um deskphone. Não só é mostrado o status de um usuário, mas também permite transferências fáceis com um clique. Se você for um administrador, poderá configurar BLFs para todos os usuários acessando “Admin > Usuários > Adicionar/Editar Usuário” e, em seguida, na guia BLF. Se você for um usuário, configure seus próprios BLFs acessando “Configurações > BLF”.

Tome notas! 5 Pontos Importantes

Temos 5 coisas importantes para você observar e agir. Leia atentamente para obter detalhes.

  • Antes de atualizar seu PBX, certifique-se de fazer um backup. Assim que a atualização for concluída, todas as senhas serão criptografadas e não poderão mais ser acessadas. Os usuários poderão fazer login com sua senha atual, mas, conforme declarado, recomendamos alterá-la – regularmente!
  • Atualizamos os e-mails de boas-vindas para oferecer suporte para “Definir/Redefinir senha”. Se você estiver usando um modelo de e-mail personalizado, precisará ajustá-lo para incluir a nova variável de e-mail.
  • Removemos a opção de “Reenviar Credenciais” das configurações do Web Client. Agora você pode selecionar “Esqueci a Senha” na tela de login.
  • Devido ao hashing da senhas, não podemos mais saber se uma senha é segura ou não. Isso significa que o antigo aviso de ‘senha fraca‘ foi removido do produto.
  • Todas as nossas compilações foram revisadas contra o VirusTotal. Até ontem, 24 de abril de 2023, havia zero (0) detecções.

Aplicativo Desktop Electron Não Atualizado no Número de Compilação 18.12.425

Você deve se lembrar que a Atualização 7 Windows Electron App foi verificado por nossos consultores Mandiant, que não encontraram nenhuma evidência de comprometimento. Nesta versão, no entanto, o Desktop App Electron não será enviado. Isso significa que, se você estiver usando o Desktop App lançado atualmente para a Atualização 7, ele continuará funcionando, mas com limitações. Aqui está um resumo do que você pode esperar:

  • Mesmo se habilitado, a Restrição/Admin do Console não estará acessível
  • Você não conseguirá baixar os arquivos de provisionamento para o aplicativo do Windows na página de aplicativos
  • A função ‘Alterar Senha‘ não funcionará mesmo se habilitada globalmente

Correções Planejadas na Atualização 7 BETA

  • Devido a algumas atualizações relacionadas aos nossos pacotes internos, o Web Client no Safari não funcionará.
  • Um bug foi encontrado ao revisar o 3CX PWA, onde, de acordo com o navegador que você usa, o logotipo Chrome ou Edge sob o Avatar não será exibido pela primeira vez se um novo usuário fizer login. Isso significa que o Usuário não pode instalar o PWA.

Como Obter a Atualização 7A Alpha

Os usuários podem acessar a atualização da seguinte maneira:

  • Usuários do Windows e Linux Debian 10
    • Faça login no seu Console de Gerenciamento
    • Atualize para “Nova 18.0 Atualização 7A Segurança Alpha”

Usuários StartUP, NFRs atuais, Testes e instâncias comerciais em execução no Hospedado 3CX serão atualizados (fora do horário comercial configurado) quando a A7A Final for lançada.

Veja o changelog completo aqui.

Mantenha-se informado

Aperte o botão seguir no Twitter e LinkedIn para atualizações de blog sobre o lançamento da Atualização 7A Beta/Final a seguir.