Mae VMware yn rhybuddio cwsmeriaid o wendid yn ei ddatrysiad dilysu dau ffactor Verify. Mae'n ymddangos bod hacwyr yn gallu rhyng-gipio'r 'ail ffactor'.
Mae VMware yn nodi yn ei rybudd ei fod yn ymwneud â phroblem diogelwch yn ei gynnyrch Workspace ONE Access. Mae VMware Verify yn gofalu am y dilysiad dau ffactor. Mae'r bregusrwydd a ganfuwyd yn caniatáu i hacwyr ryng-gipio'r 'ail gam' mewn cais dilysu dau ffactor a thrwy hynny gael mynediad.
Rhan byg blaenorol
Mae'r bregusrwydd yn rhan o wendid arall a geir yn Workspace ONE Access. Mae'r bregusrwydd hwn, CVE-2021-22057, yn caniatáu i hacwyr sydd â Ffugiad Cais Ochr Gweinyddwr gael mynediad i'r rhwydwaith i weithredu ceisiadau HTTP i adnoddau mympwyol a darllen yr ymatebion llawn.
Hefyd bregusrwydd Log4j
Ers hynny mae VMware wedi clytio'r ddau wendid ac wedi rhyddhau fersiwn newydd o Workspace ONE Access. Y fersiwn diweddaraf yw 21.08.0.1. Yn flaenorol, darganfu VMware wendid critigol iawn, sy'n dod o dan broblem Log4j. Mae'r bregusrwydd hwn hefyd ar gyfer VMware ONE Access, yn yr achos hwn cynnyrch VMware ONE Access UEM.