Затримка оновлень безпеки VMware для власників постійних ліцензій

Головна — News — Затримка оновлень безпеки VMware для власників постійних ліцензій

Контекст: Зміни в ліцензуванні VMware під керівництвом Broadcom

У листопаді 2024 року компанія Broadcom завершила придбання VMware за 61 мільярд доларів, що стало знаковим кроком у сфері віртуалізації та хмарної інфраструктури. Невдовзі після цього Broadcom оголосила про припинення продажу нових перманентних ліцензій, замінивши їх на пакетні підписки, такі як vSphere+, рівні підписки VMware Cloud Foundation та хмарні рішення VMware. Хоча Broadcom пообіцяла підтримувати існуючі перманентні ліцензії до закінчення терміну їхньої підтримки, багато організацій вирішили продовжувати експлуатацію застарілих систем без поновлення контрактів на обслуговування, покладаючись на обіцяний “безкоштовний доступ” до оновлень безпеки.

Зростання атак на ланцюги постачання у відкритому програмному забезпеченні

2025-07-25

Проблеми з доступом до патчів безпеки

15 липня 2025 року VMware повідомила про три критичні вразливості (CVE-2025-22555, CVE-2025-22556 та CVE-2025-22557), які вразили хосты ESXi, vCenter Server та VMware Tools. Незважаючи на публічні зобов’язання Broadcom, багато власників перманентних ліцензій зіткнулися з проблемами завантаження офіційних пакетів патчів — ISO-образів розміром приблизно 1.2 ГБ, що містять оффлайн-гарячі виправлення, профілі VIB для ESXi та оновлення RPM для vCenter — з порталу підтримки Broadcom.

Деякі клієнти отримували повідомлення “Доступ заборонено” при спробі завантажити VMwarePatchBundle-2025-0013.iso.

Інші отримували від інженерів підтримки інформацію, що верифікація прав доступу блокує завантаження до моменту поновлення обслуговування.

Внутрішня система обробки запитів VMware позначала ці запити під новим “циклом доставки патчів” з очікуваним терміном обробки 90 днів.

Ця затримка ставить під загрозу безпеку гіпервізорних флотів, відкриваючи можливості для експлуатації вразливостей, таких як гіперджекінг, віддалене виконання коду через інтерфейс SCSI контролера та ескалація привілеїв через скомпрометовані канали спільної пам’яті гостьової та хостової систем.

Технічний аналіз: Управління патчами та процес доставки

Портал Broadcom спирається на механізм верифікації прав доступу, який перехрещує ідентифікатори обслуговування клієнтів з внутрішньою базою ліцензій. Коли термін дії перманентної ліцензії закінчується, механізм позначає будь-який запит на нульовий патч як несанкціонований, хоча політика Broadcom дозволяє безкоштовні критичні оновлення для продуктів, які все ще підпадають під підтримку компанії.

Верифікація токена прав доступу: Після входу в систему портал видає JSON Web Token (JWT), що містить тип ліцензії, рівень підтримки та термін дії. Ліцензії, що не були поновлені, показують “support_expired”: true.

Доступ до репозиторію пакетів: Репозиторій vSphere Update Manager (VUM), підтримуваний внутрішнім кластером Artifactory, обслуговує як підписні, так і перманентні канали. Контроль доступу реалізується на рівні URL репозиторію.

Доставка пакетів: Критичні безпекові рекомендації, такі як VMSA-2025-0013, генерують дельта VIB (патчі для ESXi) та оновлення OVF. Без належних маркерів прав доступу портал повертає помилку HTTP 403.

Організації можуть обійти ці проблеми, використовуючи CLI govc для запиту метаданих патчів або завантажуючи патчі з дзеркал, доступних лише для партнерів, якщо вони мають дійсний партнерський сертифікат. Проте ті, хто не має контракту на підтримку, не мають альтернативного офіційного каналу.

Ультиматум Трампа щодо TikTok: Виклики безпеки та торгівлі

2025-07-24

Вплив на безпеку підприємств

Підприємства, які експлуатують непатчені кластери ESXi, ризикують піддатися атакам з бічним переміщенням, витоку даних та постійним зловмисним доступам у своїй віртуалізаційній інфраструктурі. Команди безпеки часто використовують системи виявлення вторгнень на базі хостів (HIDS) та сегментацію мережі для зменшення ризиків, але без офіційних патчів, які усувають вразливості в пам’яті та віддаленому виконанні коду, ці компенсуючі заходи залишаються ненадійними.

Думка експерта: За словами доктора Айші Пател, старшого дослідника в Cloud Security Alliance, “затримка у впровадженні критичних патчів навіть на кілька тижнів може суттєво підвищити ризики для організації, особливо коли зловмисники вже опублікували експлойти для VMware ESXi.”

Регуляторні та правові наслідки

Затримка доступу до патчів посилює антимонопольний контроль щодо придбання VMware компанією Broadcom. Об’єднання постачальників послуг хмарної інфраструктури в Європі (CISPE) подало апеляцію до Загального суду Європи в липні 2025 року з вимогою скасування схвалення Європейської комісії. CISPE стверджує, що Комісія не вжила заходів для запобігання консолідації домінування та обмеження ліцензій.

“Одностороннє припинення підтримки перманентних ліцензій з боку Broadcom, разом з жорсткими практиками аудиту, підриває конкуренцію та інновації в хмарних послугах,” — зазначив генеральний секретар CISPE Марко Де Ренціо.

Якщо суд визнає заходи ЄК недостатніми, Broadcom може зіткнутися з обов’язковими поступками в ліцензуванні або бути змушеною відновити продажі перманентних ліцензій у певних ринках. Тим часом, листи з вимогами аудиту, надіслані клієнтам, що не поновили обслуговування, загрожують ретроспективним рахунками на десятки мільйонів доларів за прострочені плати за обслуговування.

Тиск на аудити постачальників хмарних послуг

Оператори приватних хмар повідомляють про отримання повідомлень від Аудитора використання програмного забезпечення, які вимагають підтвердження прав доступу для кожної віртуальної машини в експлуатації. Невиконання вимог може призвести до штрафів, розрахованих на рівні 150% від вартості обслуговування за кожен неліцензований сокет.

Перспективи та рекомендації

Для організацій, які досі користуються перманентними ліцензіями без контрактів на підтримку, термінові кроки включають:

Впровадження ізоляції хостів та мікросегментації для обмеження можливих зломів.

Використання відкритих сканерів (наприклад, OpenSCAP, Nessus) для виявлення непатчених вразливостей.

Розгляд пробних підписок на VMware або послуг управління патчами від третіх осіб для заповнення прогалини.

Крім того, команди безпеки повинні слідкувати за графіком слухань Загального суду Європи, які очікуються в четвертому кварталі 2025 року, на предмет можливих рішень, які можуть відновити доступ до патчів або змінити умови ліцензування Broadcom.