Η VMware προειδοποιεί τους πελάτες για μια ευπάθεια στη λύση ελέγχου ταυτότητας δύο παραγόντων Verify. Οι χάκερ φαίνεται να μπορούν να υποκλέψουν τον «δεύτερο παράγοντα».
Η VMware αναφέρει στην προειδοποίησή της ότι αφορά ένα πρόβλημα ασφαλείας στο προϊόν Workspace ONE Access. Το VMware Verify φροντίζει για τον έλεγχο ταυτότητας δύο παραγόντων. Η ευπάθεια που βρέθηκε επιτρέπει στους χάκερ να παρεμποδίσουν το «δεύτερο βήμα» σε ένα αίτημα ελέγχου ταυτότητας δύο παραγόντων και έτσι να αποκτήσουν πρόσβαση.
Μέρος προηγούμενο σφάλμα
Η ευπάθεια είναι μέρος μιας άλλης ευπάθειας που βρέθηκε στο Workspace ONE Access. Αυτή η ευπάθεια, το CVE-2021-22057, επιτρέπει στους χάκερ με παραποίηση αιτημάτων από την πλευρά του διακομιστή να αποκτήσουν πρόσβαση στο δίκτυο για να εκτελέσουν αιτήματα HTTP σε αυθαίρετους πόρους και να διαβάσουν τις πλήρεις απαντήσεις.
Επίσης ευπάθεια Log4j
Το VMware έκτοτε επιδιορθώνει και τα δύο τρωτά σημεία και κυκλοφόρησε μια νέα έκδοση του Workspace ONE Access. Η τελευταία έκδοση είναι η 21.08.0.1. Η VMware ανακάλυψε επίσης στο παρελθόν μια πολύ κρίσιμη ευπάθεια, η οποία εμπίπτει στο πρόβλημα Log4j. Αυτή η ευπάθεια αφορά επίσης το VMware ONE Access, σε αυτήν την περίπτωση το προϊόν VMware ONE Access UEM.