VoIP-softwareleverancier 3CX gaat binnenkort een geforceerde security-upgrade van zijn progressive web application (PWA)-client doorvoeren. Dit naar aanleiding van het recente security-incident.
De geforceerde upgrade van de PWA-client moet meer security naar de client brengen. In de nabije toekomst zal de desktopapplicatie ook van een update worden voorzien.
Nieuw in de verbeterde PWA-client is onder meer een ‘Busy Lamp Field’. Dit is de softwareversie van de LED-lichten die op fysieke telefoons aangaan een lijn bezet is.
Ook zijn nu alle wachtwoorden gehasht in het systeem. Hiervoor werden ze nog in plaintext opgeslagen. Het hashen van de wachtwoorden geldt alleen voor de web client. De wachtwoorden voor SIP auth ID and password, SIP trunk, gateways of tunnels worden voorlopig -wel later- niet gehasht.
Overige maatregelen
Overige maatregelen zijn dat wachtwoorden niet meer in welkommails voor nieuwe gebruikers worden vermeld. Ook is IP-toegang tot de Management Console meer te beperken. Dit is nu ook in te stellen voor systeembeheerders die tot de beheersectie in de web client toegang hebben.
De geforceerde update van de PWA-client verschijnt volgende week in alpha en bèta. De definitieve release wordt naar verwachting een week later uitgerold.
3CX-hack
3CX werd eind maart getroffen door een intrusion- en supply-chain-aanval. Volgens onderzoek van Mandiant waren waarschijnlijk Noord-Koreaanse staatshackers verantwoordelijk.
De gebruikte TAXHAUL (AKA “TxRLoader”) malware trof onder meer de 3CX-software-onderdelen die met command- en controlinfrastructuur werken. Uiteindelijk leverde de aanval een buit van gestolen passwords en andere logingegevens op.
1 uur geleden
