VMware waarschuwt klanten voor een kwetsbaarheid in zijn Verify-tweefactorauthenticatieoplossing. Hackers blijken toch de ‘tweede factor’ te kunnen onderscheppen.

VMware geeft in zijn waarschuwing aan dat het gaat om een security-probleem in zijn Workspace ONE Access-product. VMware Verify zorgt hierin voor de tweefactorauthenticatie. Met de gevonden kwetsbaarheid kunnen hackers de ‘tweede stap’ in een tweefactorauthenticatieverzoek onderscheppen en zo toch toegang krijgen.

Onderdeel eerdere bug

De kwetsbaarheid is onderdeel van een andere gevonden kwetsbaarheid in Workspace ONE Access. Deze kwetsbaarheid, CVE-2021-22057, zorgt ervoor dat hackers met een Server Side Request Forgery netwerktoegang kan krijgen voor het uitvoeren van HTTP-verzoeken naar willekeurige bronnen en daarbij de volledige antwoorden lezen.

Ook Log4j-kwetsbaarheid

VMware heeft inmiddels beide kwetsbaarheden gedicht en nieuwe versie van Workspace ONE Access uitgebracht. De nieuwste versie is 21.08.0.1. Eerder ontdekte VMware ook al een zeer kritische kwetsbaarheid, die onder het Log4j-probleem valt. Ook deze kwetsbaarheid is voor VMware ONE Access, in dit geval VMware ONE Access UEM-product.

Tip: Log4Shell: ongekende impact, harde lessen voor software-ontwikkelaars