VMware đang cảnh báo khách hàng về lỗ hổng trong giải pháp xác thực hai yếu tố Verify. Tin tặc dường như có thể chặn được “yếu tố thứ hai”.
VMware tuyên bố trong cảnh báo rằng họ liên quan đến vấn đề bảo mật trong sản phẩm Workspace ONE Access của mình. VMware Verify đảm nhiệm việc xác thực hai yếu tố. Lỗ hổng được tìm thấy cho phép tin tặc chặn “bước thứ hai” trong yêu cầu xác thực hai yếu tố và do đó giành được quyền truy cập.
Phần lỗi trước
Lỗ hổng này là một phần của lỗ hổng khác được tìm thấy trong Workspace ONE Access. Lỗ hổng CVE-2021-22057 này cho phép tin tặc giả mạo yêu cầu phía máy chủ giành quyền truy cập mạng để thực thi các yêu cầu HTTP tới các tài nguyên tùy ý và đọc phản hồi đầy đủ.
Ngoài ra lỗ hổng Log4j
VMware kể từ đó đã vá cả hai lỗ hổng và phát hành phiên bản mới của Workspace ONE Access. Phiên bản mới nhất là 21.08.0.1. VMware trước đây cũng đã phát hiện ra một lỗ hổng rất nghiêm trọng liên quan đến vấn đề Log4j. Lỗ hổng này cũng dành cho VMware ONE Access, trong trường hợp này là sản phẩm VMware ONE Access UEM.