Eerste stappen van 7-stappen ‘EFTA’ in gang gezet

Zoals beloofd in onze sneak peek Update 7A – Nadruk op Beveiliging, hebben we vandaag Update 7A – Alpha uitgebracht. Het blijft allemaal draaien om Beveiliging. Lees verder voor meer informatie over nieuwe functies, de 5 belangrijkste aandachtspunten en wat u moet doen. Tot slot, gebruikt u de huidige Desktop App voor Update 7, dan zijn er enkele bekende beperkingen. Ontdek meer!

Wachtwoorden hashen

Als onderdeel van onze voortdurende inzet om de beveiligingsfuncties van onze producten te verbeteren, worden in Update 7a alle web wachtwoorden in het systeem gehasht. Dit betekent dat er een conversie is uitgevoerd door de System Service. Deze haalt alle huidige wachtwoorden op en ze hashed. In de praktijk kunnen gebruikers nog steeds inloggen met hun wachtwoord. Wij raden echter wel aan het wachtwoord regelmatig te wijzigen.

Zoals gezegd in het vorige blog, geldt het hashen van wachtwoorden momenteel alleen voor het inloggen met de Web Client. In verband met backward compatibility hashen we geen SIP authentication ID en wachtwoord, SIP trunk en gateway wachtwoorden of tunnel wachtwoorden. Als deze gegevens worden gehackt, kunnen ze alleen worden gebruikt om te kunnen bellen via de PBX. Ze kunnen niet gebruikt worden om in te loggen op de centrale. In toekomstige versies zullen we echter ook deze wachtwoorden hashen.

Verwijderen wachtwoord en config bestand uit de welkomstmail

Voorheen bevatte de welkomstmail het wachtwoord voor de Web Client en het config bestand voor de configuratie van de app “oude stijl”. Beiden zijn nu verwijderd uit de welkomstmail. Dit betekent dat u enkele belangrijke stappen moet zetten:

  1. Stel uw gebruikerswachtwoord in voordat u inlogt
  2. Gebruik de QR-code om uw Android- en/of iOS-app te provisionen.

Beperk de Web Management Access tot IP niveau

Toegang tot de Management Console kon al worden beperkt tot op IP niveau. Nu kunt u dit ook doen voor System Admins die toegang hebben tot het Admin gedeelte in de Web Client.

BLF toegevoegd aan Dialer Web Client en PWA

BLF - Web Client en PWA

Hoewel het geen beveiligingsfunctie is, werd het ontbreken van de BLF-functie in de PWA als reden genoemd om deze niet te gebruiken. Daarom is de BLF-weergave nu toegevoegd aan de Web Client en de PWA. Zoals gezegd, de PWA is eenvoudiger te onderhouden en te beveiligen. Het blijft dus een aanrader.

In de praktijk lijkt deze functie op een bureautoestel met zijn BLF toetsen. Het toont niet alleen de status, maar laat u ook eenvoudig doorverbinden met een klik. Als u een beheerder bent, kunt u de BLF’s configureren voor alle gebruikers. Ga naar “Beheer > Gebruikers > Gebruiker Toevoegen / Bewerken” en dan naar het tabblad BLF. Als gebruiker kunt u uw eigen BLF’s configureren via “Instellingen > BLF”.

Let op! 5 belangrijke punten

We hebben 5 belangrijke punten voor u om actie op te ondernemen. Lees deze aandachtig door.

  • Maak een backup voordat u uw PBX update. Zodra de update is voltooid, zullen alle wachtwoorden worden gehasht en niet langer toegankelijk zijn. Gebruikers kunnen inloggen met hun huidige wachtwoord, maar wij adviseren om dit (regelmatig) te veranderen.
  • We hebben de welkomstmails bijgewerkt voor “Wachtwoord instellen/herstellen”. Als u een aangepaste e-mail template gebruikt, dient u deze aan te passen met de nieuwe “e-mail variabele” op te nemen.
  • We hebben de optie “Credentials opnieuw verzenden” verwijderd uit de instellingen van de webclient. U kunt nu “Wachtwoord vergeten” selecteren in het inlogscherm.
  • Door het hashen van wachtwoorden weten wij niet of een wachtwoord veilig is of niet. Dit betekent dat de oude waarschuwing ‘zwak wachtwoord’ is verwijderd.
  • Al onze builds zijn getoetst aan VirusTotal. Vanaf 24 april 2023 zijn er nul (0) detecties.

Desktop Electron App niet bijgewerkt in Build Number 18.12.425

Wellicht weet u nog dat onze Update 7 Windows Electron App is gecontroleerd door onze adviseurs van Mandiant. Zij hebben geen bewijs van besmetting gevonden. Echter, in deze release wordt de Desktop Electron App niet gepushed. Met andere woorden, als u de huidige Desktop App voor Update 7 gebruikt, dan blijft deze werken met beperkingen. Een samenvatting van wat u kunt verwachten:

  • Zelfs wanneer ingeschakeld, zal de Console Restriction /Admin niet toegankelijk zijn
  • U bent niet in staat om provisioning bestanden te downloaden voor de Windows App in Apps pagina
  • De functie ‘Wachtwoord wijzigen’ werkt niet, zelfs niet wanneer dit is ingeschakeld “globally”

Geplande Fixes Update 7A BETA

  • De Web Client werkt niet in Safari door enkele updates met betrekking tot onze internal packages.
  • Tijdens het reviewen van de 3CX PWA is een bug ontdekt. Afhankelijk van de browser kan het gebeuren dat het Chrome of Edge logo onder de Avatar niet wordt getoond wanneer de Gebruiker voor het eerst inlogt. Hierdoor kan de Gebruiker de PWA niet kan installeren.

Update 7A Alpha

Gebruikers kunnen de updates als volgt krijgen:

  • Windows en Linux Debian 10 gebruikers
    • Log in op de Management Console
    • Update naar “Nieuwe 18.0 Update 7A Alpha Security”.

Gebruikers van StartUP, NFR’s, Trials en commerciële keys die draaien op 3CX Hosted, zullen worden bijgewerkt (buiten de geconfigureerde kantooruren) wanneer U7A Final wordt vrijgegeven.

Bekijk hier het volledige changelog.

Blijf op de hoogte

Klik op de follow button op Twitter en LinkedIn voor blog updates over de volgende Update 7A Beta/Final versie.