Primeros pasos hacia el plan de acción de 7 pasos ‘EFTA’ en marcha.

Como prometimos en nuestro adelanto de la Actualización 7A – Enfocados en la Seguridad, hemos lanzado la Actualización 7A – Alpha hoy. Sigue siendo todo acerca de la Seguridad. Siga leyendo para obtener más información sobre las funciones agregadas, los 5 puntos clave a considerar, ¡así como la acción que debe tomar! Y finalmente, si está utilizando la app de escritorio lanzada para la Actualización 7, existen algunas limitaciones conocidas. ¡Écheles un vistazo!

Contraseñas Hash

Reconociendo la necesidad de abordar esta buena práctica en la Actualización 7A, y como parte de nuestro compromiso continuo de mejorar y aumentar las funciones de seguridad de nuestro producto, en esta actualización todas las contraseñas web en el sistema contienen hashing. Esto significa que una conversión se ha realizado por medio del Servicio del Sistema que obtiene todas las contraseñas actuales e incluye el hash. Desde un punto de vista práctico, los Usuarios aún pueden iniciar sesión con su contraseña actual. Sin embargo, recomendamos cambiar la contraseña regularmente.

Como describimos en nuestro blog anterior, en este momento, el hash de contraseñas se aplica sólo al inicio de sesión del Cliente Web. Por razones de compatibilidad con versiones anteriores, no incluiremos el hash en el ID y la contraseña de autenticación de SIP, contraseñas de la Troncal SIP y del gateway o en la contraseña del túnel . Si estas credenciales son comprometidas sólo se pueden usar para obtener acceso de llamadas al PBX. No se pueden elevar para iniciar sesión en el PBX. Sin embargo, en versiones futuras también aplicaremos hash a estas contraseñas.

Eliminación de Contraseña y Archivo de Configuración del Correo Electrónico de Bienvenida

Anteriormente, el Correo Electrónico de Bienvenida incluía la contraseña del Cliente Web y, como se mencionó, el archivo de configuración para la configuración al estilo antiguo de la app. Junto con el archivo de configuración, la contraseña del Cliente Web también se eliminó del correo electrónico de Bienvenida. Esto significa que debe tomar algunos pasos importantes:

  1. Establezca su contraseña de Usuario antes de iniciar sesión
  2. Use el código QR para aprovisionar su aplicación de Android y/o iOS

Restricción de Acceso del Administrador vía IP con el Cliente Web

El acceso por IP para la Consola de Administración ya era limitado. Ahora, sin embargo, también puede hacer esto para los administradores del sistema que tienen acceso a la sección de administración en el Cliente Web.

Vista de BLF Agregada en el Marcador del Cliente Web y PWA

Vista BLF Agregada en el Marcador del Cliente Web y PWA

Aunque no es una función de seguridad per se, la falta del BLF en la PWA se citó como una razón clave para no comenzar a usarla. Para abordar esto, hemos agregado la vista BLF en el marcador del Cliente Web y PWA. Como hemos comentado, la PWA es más fácil de mantener y proteger, por lo que sigue siendo muy recomendable.

Desde un punto de vista práctico, esta característica imita un teléfono de escritorio que muestra BLF similares a un teléfono de escritorio. No solo se muestra el estado de un usuario, sino que permite transferencias sencillas con un solo clic. Si es administrador, puede configurar el BLF para todos los usuarios yendo a “Administrador > Usuarios > Agregar/Editar Usuario” y luego a la pestaña BLF. Si es un Usuario, configure sus propios BLF yendo a “Configuración > BLF”.

¡Tomar nota! 5 puntos importantes

Tenemos 5 cosas importantes para que tome nota y tome medidas al respecto. Lea atentamente para obtener más detalles.

  • Antes de actualizar su PBX, asegúrese de hacer una copia de seguridad. Una vez que se complete la actualización, todas las contraseñas tendrán hashing y ya no estarán accesibles. Los usuarios podrán iniciar sesión con su contraseña actual, pero como se indicó, recomendamos cambiarla, ¡regularmente!
  • Hemos actualizado los Correos Electrónicos de Bienvenida para soportar “Establecer/Restablecer contraseña”. Si está utilizando una plantilla de correo electrónico personalizada, debe ajustar la para incluir la nueva variable de correo electrónico.
  • Hemos eliminado la opción de “Reenviar credenciales” de la configuración del cliente web. Ahora puede seleccionar “Olvidé mi Contraseña” en la pantalla de inicio de sesión.
  • Debido al hashing de contraseñas, ya no podemos saber si una contraseña es segura o no. Esto significa que la antigua advertencia de “contraseña débil” se ha eliminado del producto.
  • Todas nuestras compilaciones fueron revisadas contra VirusTotal. Hasta ayer 24 de abril de 2023 hay cero (0) detecciones.

La App Desktop Electrón No se Actualizó en el Número de Compilación 18.12.425

Recordará que la actualización 7 de la aplicación Windows Electrón fue revisada por nuestros asesores Mandiant y no encontraron evidencia de vulnerabilidad. En esta versión, sin embargo, la App Desktop Electrón no se impulsará. Esto significa que si está utilizando la App de Escritorio lanzada actualmente para la Actualización 7, seguirá funcionando pero con limitaciones. Aquí hay un resumen de lo que puede esperar:

  • Incluso si está habilitado, no se podrá acceder a Restricciones de Consola/Administrador
  • No podrá descargar archivos de aprovisionamiento para la App de Windows en la página de Apps
  • La función ‘Cambiar contraseña‘ no funcionará incluso si está habilitada globalmente

Correcciones Planificadas Actualización 7A BETA

  • Debido a algunas actualizaciones relacionadas con nuestros paquetes internos, el Web Client en Safari no funcionará.
  • Se encontró un error al revisar el PWA de 3CX, en el que, según el navegador que utilice, el logotipo de Chrome o Edge debajo del Avatar no se mostrará por primera vez si es un nuevo Usuario hace login. Esto significa que el Usuario no puede instalar la PWA.

Cómo Obtener la Actualización 7A Alpha

Los usuarios pueden acceder a la actualización de la siguiente manera:

  • Usuarios de Windows y Linux Debian 10
    • Inicie sesión en su Consola de Administración
    • Actualizar a “Nueva 18.0 Actualización 7A Alpha Security”

Los usuarios de StartUP, de NFRs, de licencias de prueba y las instancias comerciales que se ejecutan en Hospedado por 3CX se actualizarán (fuera del horario de oficina configurado) cuando se publique U7A Final.

Ver el registro de cambios de logs completo aquí.

Manténgase informado

Presione el botón de seguimiento en Twitter y LinkedIn para obtener actualizaciones de blog sobre la versión Beta/Final de la Actualización 7A que vendrán a continuación.