VMware ostrzega klientów o luce w swoim rozwiązaniu uwierzytelniania dwuskładnikowego Verify. Wydaje się, że hakerzy są w stanie przechwycić „drugi czynnik”.
Firma VMware informuje w swoim ostrzeżeniu, że dotyczy problemu z bezpieczeństwem w swoim produkcie Workspace ONE Access. VMware Verify zajmuje się uwierzytelnianiem dwuskładnikowym. Znaleziona luka umożliwia hakerom przechwycenie „drugiego kroku” w żądaniu uwierzytelnienia dwuskładnikowego, a tym samym uzyskanie dostępu.
Część poprzedni błąd
Podatność jest częścią innej podatności znajdującej się w Workspace ONE Access. Ta luka, CVE-2021-22057, umożliwia hakerom z fałszowaniem żądania po stronie serwera uzyskanie dostępu do sieci w celu wykonywania żądań HTTP do dowolnych zasobów i odczytywania pełnych odpowiedzi.
Również podatność Log4j
Od tego czasu VMware załatało obie luki i wypuściło nową wersję Workspace ONE Access. Najnowsza wersja to 21.08.0.1. Firma VMware odkryła również wcześniej bardzo krytyczną lukę, która dotyczy problemu Log4j. Ta luka dotyczy również VMware ONE Access, w tym przypadku produktu VMware ONE Access UEM.