VMware varnar kunder för en sårbarhet i sin Verify tvåfaktorsautentiseringslösning. Hackare verkar kunna fånga upp den "andra faktorn".
VMware uppger i sin varning att det rör sig om ett säkerhetsproblem i sin Workspace ONE Access-produkt. VMware Verify tar hand om tvåfaktorsautentiseringen. Den upptäckta sårbarheten tillåter hackare att fånga upp det "andra steget" i en begäran om tvåfaktorsautentisering och på så sätt få åtkomst.
Del föregående bugg
Sårbarheten är en del av en annan sårbarhet som finns i Workspace ONE Access. Denna sårbarhet, CVE-2021-22057, tillåter hackare med en Server Side Request Forgery att få nätverksåtkomst för att exekvera HTTP-förfrågningar till godtyckliga resurser och läsa de fullständiga svaren.
Även Log4j sårbarhet
VMware har sedan dess korrigerat båda sårbarheterna och släppt en ny version av Workspace ONE Access. Den senaste versionen är 21.08.0.1. VMware har också tidigare upptäckt en mycket kritisk sårbarhet, som faller under Log4j-problemet. Denna sårbarhet gäller även VMware ONE Access, i det här fallet VMware ONE Access UEM-produkt.