In accordo alla nota ufficiale, rilasciata in data odierna da 3CX, riportiamo di seguito alcune informazioni in merito all'avviso di sicurezza rilevato sulla Desktop App 3CX.
Applicazioni oggetto dell'avviso di sicurezza
L'oggetto dell'avviso è unicamente la desktop App (installata nei client) nella versione rilasciata a corredo dell'ultimo update 18.7.
Nello specifico ecco le versioni:
- 3CXDesktopApp per Windows, versioni 18.12.407 e 18.12.416
- 3CXDesktopApp per macOS, versioni 18.11.1213, 18.12.402, 18.12.407 e 18.12.416
NON RIGUARDA i server 3CX ospitati nel nostro cloud, l'app per iPhone, l'app per Android, il Softphone per Windows Legacy, i telefoni hardware e la PWA (quest'ultima, come descritto di seguito, può sostituire in ogni funzionalità la Desktop App)
Considerazioni
Il problema sembra essere causato da una delle librerie in bundle compilata da 3CX nell’app electron tramite GIT. I domini contattati da questa libreria compromessa sono già stati segnalati, e la maggior parte è stata rimossa durante la scorsa notte. Anche un repository github che li elencava è stato chiuso, rendendolo effettivamente innocuo. Nonostante ciò, al fine di tutelare la sicurezza dei nostri clienti e nelle more che Mandiant concluda l'analisi dell'incidente, consigliamo di seguire ugualmente le istruzioni riportate di seguito.
Azioni consigliate
1. Disinstallare la Desktop App
su Windows:
- Cliccare su Start
- Digitare “Pannello di controllo”, INVIO
- Selezionare “Programmi e funzionalità”
- Cercare 3CX Desktop App, selezionarla e cliccare su “Disinstalla”
su Mac:
- Andare su “Applicazioni”
- Selezionare “3CX Desktop APP”
- Cliccare con il tasto destro e scegliere “Sposta nel Cestino”
- Assicurarsi che non sia presente l'app sul Desktop o in altre posizioni, eventualmente procedere alla rimozione
- Svuotare il cestino
2. Utilizzare la PWA anziché la Desktop App
- Effettuare il Login nel Web Client (Esempio: https://nomeazienda.my3cx.it/webclient) da Chrome o Edge
- Ci sono due opzioni:
- Cliccare sull'icona del sistema operativo posizionata sotto l'avatar. Si aprirà una nuova finestra di dialogo, scegliere “Web App (PWA)” e cliccare sul pulsante “Installa”.
- Oppure cliccare sul “Pulsante Installa” (Uno schermo con una freccia) posizionato nella barra degli indirizzi e confermare. Vedere l'icona riportata nello screenshot di sopra.
- Per abilitare l'avvio automatico dell'app:
- Su Google Chrome: Aprire il browser Chrome e digitare ‘chrome://apps’ nella barra degli indirizzi. Cliccare con il tasto destro su “3CX” e abilitare “Avvia l'app all'accesso”.
- Su Microsoft Edge: Su Edge, selezionare Auto-start nella finestra di dialogo che appare dopo l'installazione.
PWA funziona solo su Google Chrome e Microsoft Edge - non su Safari o Firefox
Sono disponibili ulteriori informazioni nel manuale del Web Client.
Integrazione CRM & PWA
Allo stesso modo della Desktop App, anche la PWA consente di aprire automaticamente le schede del CRM in caso di integrazione CRM/3CX. Per abilitare questa funzionalità è necessario accedere alla sezione SETTAGGI > INTEGRAZIONE e selezionare la seconda opzione "Apri automaticamente l'URL del contatto quando l'integrazione CRM è abilitata"
Click to Call & PWA
Per mantenere il funzionamento dell'estensione del browser che consente il clic to call, è necessario inserire l'url completo del webclient all'interno delle impostazioni dell'estensione come descritto di seguito:
- Cliccare sull'estensione e scegliere "Impostazioni di configurazione"
- Selezionare la voce "Web Client"
- Incollare l'url del proprio webclient e chiudere la finestra di dialogo
Aggiornamento della Desktop App
Entro pochi giorni, sarà disponibile un'altra app Electron ricostruita da zero con un nuovo certificato. Vi consigliamo, in ogni caso, di evitare di utilizzare l'app Electron a meno che non ci siano assolutamente alternative. L'aggiornamento dell'app Electron che è stato rilasciato il 30/03/2023 è considerato sicuro, ma non ha avuto il consueto percorso di testing e valutazione, dato che è stato sviluppato in meno di 24 ore. Esistono due versioni dell'app perché la tecnologia PWA è stata introdotta successivamente alla creazione della Desktop App, le funzionalità della Desktop App sono completamente replicate dalla PWA con la differenza che sulla PWA non sono ancora presenti (ma la funzione sarà inserita tra pochi giorni) i BLF e gli HotKey e il tastierino numerico non è separabile (ma lo sarà a breve). Per l’avvio di script personalizzati o l’integrazione con vecchi CRM è possibile, invece, utilizzare il softphone legacy di Windows.
Approfondimenti: