VMware 警告客戶其驗證雙因素身份驗證解決方案存在漏洞。 黑客似乎能夠攔截“第二個因素”。
VMware 在其警告中表示,它涉及其 Workspace ONE Access 產品中的安全問題。 VMware Verify 負責雙重身份驗證。 發現的漏洞允許黑客攔截雙因素身份驗證請求中的“第二步”,從而獲得訪問權限。
部分以前的錯誤
該漏洞是 Workspace ONE Access 中發現的另一個漏洞的一部分。 此漏洞 CVE-2021-22057 允許具有服務器端請求偽造的黑客獲得網絡訪問權限,以執行對任意資源的 HTTP 請求並讀取完整響應。
還有 Log4j 漏洞
此後,VMware 修補了這兩個漏洞並發布了新版本的 Workspace ONE Access。 最新版本是 21.08.0.1。 VMware 之前還發現了一個非常嚴重的漏洞,屬於 Log4j 問題。 此漏洞也適用於 VMware ONE Access,在本例中為 VMware ONE Access UEM 產品。