VMware מזהירה לקוחות מפני פגיעות בפתרון האימות הדו-גורמי Verify שלה. נראה שהאקרים מסוגלים ליירט את 'הגורם השני'.
VMware מציינת באזהרה שהיא נוגעת לבעיית אבטחה במוצר Workspace ONE Access שלה. VMware Verify דואגת לאימות דו-גורמי. הפגיעות שנמצאה מאפשרת להאקרים ליירט את 'השלב השני' בבקשת אימות דו-גורמי ובכך לקבל גישה.
חלק מהבאג הקודם
הפגיעות היא חלק מפגיעות אחרת שנמצאה ב-Workspace ONE Access. פגיעות זו, CVE-2021-22057, מאפשרת להאקרים עם זיוף בקשת Server Side לקבל גישה לרשת כדי לבצע בקשות HTTP למשאבים שרירותיים ולקרוא את התגובות המלאות.
גם פגיעות Log4j
מאז VMware תיקנה את שתי הפגיעויות והוציאה גרסה חדשה של Workspace ONE Access. הגרסה האחרונה היא 21.08.0.1. VMware גם גילתה בעבר פגיעות קריטית מאוד, אשר נופלת תחת בעיית Log4j. פגיעות זו היא גם עבור VMware ONE Access, במקרה זה מוצר VMware ONE Access UEM.