VMware: 2FA può favorire i malintenzionati

VMware: 2FA può favorire i malintenzionati

Una falla di VMWare favorisce i malintenzionati nel recupero della seconda chiave d'accesso degli utenti nell'autenticazione a due fattori.
VMware: 2FA può favorire i malintenzionati
Una falla di VMWare favorisce i malintenzionati nel recupero della seconda chiave d'accesso degli utenti nell'autenticazione a due fattori.

L’autenticazione a due fattori (2FA) rappresenta senza dubbio alcuno un ottimo metodo per tutelare i propri account da eventuali accessi non autorizzati. Se però è lo stesso sistema di protezione ad avere qualche problema sul fronte sicurezza, non è facile dedurre che quel che ne deriva potrebbe non essere una tra le situazioni più felici ed è esattamente questo quanto verificatosi con VMware nel corso degli ultimi giorni.

VMWare Verify: i malintenzionati possono ottenere la seconda chiave d’accesso

L’azienda capitanata da Raghu Raghuram, infatti, ha avvertito gli utenti che un bug nel suo sistema di autenticazione a due fattori VMware Verify potrebbe consentire ad eventuali malintenzionati in possesso di una prima credenziale per il login di ottenere la seconda credenziale richiesta e di sfruttare quindi l’accesso ai dati degli utenti per compiere operazioni illecite.

La falla coinvolta è quella che è stata siglata come CVE-2021-22057 con un punteggio pari a 6.6 su 10 ed essendo il sistema di verifica a due fattori parte del prodotto VMware Workspace ONE Access la problematica riguarda in primo luogo quest’ultimo. La soluzione alla cosa è comunque già disponibile: è stata rilasciata la versione 21.08.0.1 di VMware Workspace ONE Access che correggere il tutto. Il consiglio, dunque, è quello di procedere quanto prima con l’aggiornamento.

Da notare che la precedente versione di VMware Workspace ONE Access porta in dote anche una vulnerabilità Server-side request forgery, valutata con un punteggio pari a 5.5, la quale può permettere a un malintenzionato con accesso alla rete di effettuare richieste HTTP in maniera arbitraria e di comunicare quindi con i servizi interni sul network.

Fonte: The Register
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 20 dic 2021
Link copiato negli appunti