Bu ayın başlarında, Broadcom müşterilere artık sürekli lisans bazında satın alınan VMware ürünleri için destek sözleşmelerini yenilemeyeceğini ve bu desteğin yalnızca VMware aboneliğine geçenler için devam edeceğini bilgilendirdi.
VMware’in kurumsal BT’deki önemli ayak izi göz önüne alındığında, birçok kuruluş uygun bir maliyetle güvenli bir sanallaştırma ortamını sürdürme zorluğuyla karşı karşıyadır. Computer Weekly’nin daha önce bildirdiği gibi, Broadcom VMware ürün portföyünü basitleştirdi, bu da birkaç ürünün artık VMware Cloud Foundation’a paketlendiği ve maliyetleri artırdığı anlamına geliyor.
12 Mayıs’ta Broadcom, bazı VMware ürünleriyle ilgili güvenlik tavsiyeleri yayınladı. Aria araç setini etkileyen bir-CVE-2025-22249-kritik olarak işaretlendi. Diğeri-VMware araçlarını etkileyen CVE-2025-22247-ılımlı risk olarak sınıflandırılır.
VMware ARIA 8.18.x ve VMware Tools 11.xx ve 12.xx için yamalar yayınlamış olsa da, Broadcom herhangi bir geçici çözüm sağlamamıştır.
Bazı endüstri uzmanlarına göre, geçici VMware lisansları çalıştıran müşteriler için geçici bir çözüm ve yamalara erişim, yalnızca Broadcom ve VMware müşterileri arasında bir çatlaka neden olmakla kalmaz, aynı zamanda müşterileri abonelik tabanlı lisansa taşımak için VMware sahibinden dolaylı baskı olarak da yorumlanabilir.
Açık bir mektupta VMware Rival Platform9, Broadcom’un VMware’in sürekli lisanslanmasından abonelik tabanlı fiyatlandırmaya geçtiğinde, müşterilere geçişin müşterilerin mevcut sürekli lisanslarını kullanma yeteneğini etkilemeyeceğinden emin oldu.
Mektupta Platform9 şunları söyledi: “Geçtiğimiz hafta, bu vaat bozuldu. Birçoğunuz, Broadcom’dan sürekli VMware lisanslarını kullanmanız konusunda durdurma ve tahsis siparişleri aldığını bildirdiniz. Bu mektuplar, kullanabileceğiniz yamaları ve hata düzeltmelerini kaldırmanızı talep ediyor.”
Platform9’a göre, Broadcom’un “lisanslı destek” tanımı değişmiş görünüyor. Mektup, sürekli lisanslara sahip VMware müşterilerinin yalnızca “sıfır gün” güvenlik yamaları için ele alındığını not ediyor. Platform9 açık mektupta, “Düzenli güvenlik yamaları, hata düzeltmeleri ve küçük yamalar, yalnızca devam eden bir abonelik için ödeme yaparsanız kullanılabilir” dedi.
Yamalara erişim olmadan, sürekli lisanslı VMware ürünleri için üçüncü taraf desteği kullanmaya karar veren VMware müşterilerinin geçici çözümlere güvenmesi gerekir.
Belirli güvenlik açıklarına bakıldığında, Spinnaker Desteği Baş Teknoloji Sorumlusu Iain Saunderson, şirketin VMware üçüncü taraf destek müşterilerine duyurudan sonraki saatler içinde bir danışma sağladığını söyledi. “Olası saldırı zincirlerini bozmak için uyguladığımız geçici çözümler var. Güvenliğe proaktif ve sağlam yaklaşımımız, bir sürüm yükseltmesinden veya yamadan daha kolay konuşlandırılması daha kolay olan müşteriler için bir düzeltmeyi hızla kullanılabilir hale getirdiğimiz anlamına geliyor.”
Rimini Protect and Watch’un üst düzey başkan yardımcısı ve genel müdürü Gabe Dimeglio, “Tehdit istihbarat ekibimiz aktif olarak gözden geçiriyor ve destek ekibimiz, yardım talep eden müşterilere yardımcı oluyor. Öncelik vakaları için 10 dakikalık bir yanıt süresi SLA’sı var, her bir müşteri ile bireysel olarak çalışıyoruz ve her müşteri ile bireysel olarak çalışıyoruz ve her bir müşterilerle birlikte çalışıyoruz ve her bir müşterilerle birlikte çalışıyoruz. yapılandırmalar. “
CVE-2025-22247 Güvenlik Açığı uyarısı, VMware Tools’un güvensiz bir dosya işleme güvenlik açığı içerdiğini not eder. Konuk sanal makinede (VM) yönetici olmayan ayrıcalıklara sahip kötü niyetli bir aktör, bu VM içindeki güvensiz dosya işlemlerini tetiklemek için yerel dosyalara kurcalamaya karşı savunmasızlığı kullanabilir.
Rimini Street, güvenlik açığının, kullanıcıların bir sanal makinenin dosya sistemini manipüle etmek için VMware araçlarındaki bir kusurdan ve alternatif açık vm-tool’ü kullanmasına izin verdiğini söyledi. Mümkün olan VMware araçları üzerinden açık vm-toollerin kullanılmasını önerir.
Rimini Caddesi’nden analize göre, CVE-2025-22249, tipik olarak yalnızca yöneticiler tarafından görevleri kolaylaştırmak için kullanılan VMware ARIA otomasyon aracıyla bir siteler arası komut dosyası (XSS) güvenlik açığı ile ilgilidir ve birçok kuruluş bunu hiç kullanmıyor olabilir.
Spinnaker Desteği’ndeki siber güvenlik başkan yardımcısı Craig Savage, “Güvenliğe stratejik bir yaklaşım proaktif hafifletmeyi içerir. Üçüncü taraf sağlayıcıların tam olarak sunduğu şey budur. Bir yama uygulamadan önce, güvenlik açıklarının çevreyi nasıl etkilediğini, güvenlik boşluklarının bütünsel olarak kapalı olmasını sağlar.
Savage’a göre, internetteki maruz kalan vCenter örnekleri gibi yanlış yapılandırmalar, tek bir yamayı kaçırmaktan çok daha büyük bir tehdittir. Üçüncü taraf destek ekiplerinin bir kuruluşun tüm güvenlik duruşuna bakarak proaktif güvenlik incelemeleri yapabildiğini söyledi. “VCenter üzerindeki zayıf bir kök şifresi bir yama ile sabitlenmiyor – değerlendirme, iyileştirme ve daha iyi güvenlik politikaları gerektiriyor” diye ekledi.