VMware 警告客户其验证双因素身份验证解决方案存在漏洞。 黑客似乎能够拦截“第二个因素”。
VMware 在其警告中表示,它涉及其 Workspace ONE Access 产品中的安全问题。 VMware Verify 负责双重身份验证。 发现的漏洞允许黑客拦截双因素身份验证请求中的“第二步”,从而获得访问权限。
部分以前的错误
该漏洞是 Workspace ONE Access 中发现的另一个漏洞的一部分。 此漏洞 CVE-2021-22057 允许具有服务器端请求伪造的黑客获得网络访问权限,以执行对任意资源的 HTTP 请求并读取完整响应。
还有 Log4j 漏洞
此后,VMware 修补了这两个漏洞并发布了新版本的 Workspace ONE Access。 最新版本是 21.08.0.1。 VMware 之前还发现了一个非常严重的漏洞,属于 Log4j 问题。 此漏洞也适用于 VMware ONE Access,在本例中为 VMware ONE Access UEM 产品。