VMware เตือนลูกค้าถึงช่องโหว่ในโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัย ดูเหมือนว่าแฮ็กเกอร์จะสามารถสกัดกั้น 'ปัจจัยที่สอง' ได้
VMware ระบุในคำเตือนว่าเกี่ยวข้องกับปัญหาความปลอดภัยในผลิตภัณฑ์ Workspace ONE Access VMware Verify ดูแลการตรวจสอบสิทธิ์แบบสองปัจจัย ช่องโหว่ที่พบช่วยให้แฮกเกอร์สามารถสกัดกั้น 'ขั้นตอนที่สอง' ในคำขอตรวจสอบสิทธิ์แบบสองปัจจัยและเข้าถึงได้
ส่วนข้อบกพร่องก่อนหน้า
ช่องโหว่นี้เป็นส่วนหนึ่งของช่องโหว่อื่นที่พบใน Workspace ONE Access ช่องโหว่นี้ CVE-2021-22057 ช่วยให้แฮกเกอร์ที่มีการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์เข้าถึงเครือข่ายเพื่อดำเนินการคำขอ HTTP ไปยังทรัพยากรที่กำหนดเองและอ่านคำตอบทั้งหมด
ช่องโหว่ของ Log4j ด้วย
VMware ได้แก้ไขช่องโหว่ทั้งสองและเปิดตัว Workspace ONE Access เวอร์ชันใหม่ เวอร์ชันล่าสุดคือ 21.08.0.1 ก่อนหน้านี้ VMware ยังได้ค้นพบช่องโหว่ที่สำคัญมาก ซึ่งอยู่ภายใต้ปัญหา Log4j ช่องโหว่นี้มีไว้สำหรับ VMware ONE Access เช่นกัน ในกรณีนี้คือผลิตภัณฑ์ VMware ONE Access UEM