VMware avertit les clients d'une vulnérabilité dans sa solution d'authentification à deux facteurs Verify. Les pirates semblent être en mesure d'intercepter le "deuxième facteur".
VMware indique dans son avertissement qu'il s'agit d'un problème de sécurité dans son produit Workspace ONE Access. VMware Verify prend en charge l'authentification à deux facteurs. La vulnérabilité découverte permet aux pirates d'intercepter la « deuxième étape » d'une demande d'authentification à deux facteurs et ainsi d'y accéder.
Bogue précédent
La vulnérabilité fait partie d'une autre vulnérabilité trouvée dans Workspace ONE Access. Cette vulnérabilité, CVE-2021-22057, permet aux pirates avec une falsification de requête côté serveur d'accéder au réseau pour exécuter des requêtes HTTP vers des ressources arbitraires et lire les réponses complètes.
Aussi la vulnérabilité Log4j
VMware a depuis corrigé les deux vulnérabilités et publié une nouvelle version de Workspace ONE Access. La dernière version est 21.08.0.1. VMware a également découvert précédemment une vulnérabilité très critique, qui relève du problème Log4j. Cette vulnérabilité concerne également VMware ONE Access, dans ce cas le produit VMware ONE Access UEM.