في وقت سابق من هذا الشهر ، أبلغت Broadcom العملاء أنها لن تجدد عقود الدعم لمنتجات VMware التي تم شراؤها على أساس ترخيص دائم وأن هذا الدعم سيستمر فقط لأولئك الذين انتقلوا إلى اشتراك VMware.
بالنظر إلى البصمة المهمة لـ VMware في شركة تكنولوجيا المعلومات ، تواجه العديد من المنظمات التحدي المتمثل في الحفاظ على آمنة البيئة الظاهرية بتكلفة بأسعار معقولة. كما ذكرت Computer Weekly من قبل ، قامت Broadcom بتبسيط محفظة منتجات VMware ، مما يعني أن العديد من المنتجات يتم تجميعها الآن في FMWARE Cloud Foundation ، مما يؤدي إلى زيادة التكاليف.
في 12 مايو ، أصدرت Broadcom استشارات أمنية تتعلق ببعض منتجات VMware الخاصة بها. واحد-CVE-2025-22249 ، الذي يؤثر على مجموعة أدوات ARIA-تم وضع علامة على أنه أمر بالغ الأهمية. والآخر-CVE-2025-22247 ، الذي يؤثر على أدوات VMware-يتم تصنيفه على أنه خطر معتدل.
بينما أصدرت تصحيحات لـ VMware ARIA 8.18.x و VMware Tools 11.xx و 12.xx ، لم تقدم Broadcom أي حلول.
وفقًا لبعض خبراء الصناعة ، فإن الافتقار إلى الحل البديل والوصول إلى تصحيحات للعملاء الذين يقومون بتراخيص VMware الدائمة لا يسبب مجرد خلاف بين عملاء Broadcom و VMware ، ولكن يمكن أيضًا تفسيره على أنه ضغط غير مباشر من مالك VMware لنقل العملاء إلى الترخيص القائم على الاشتراك.
في خطاب مفتوح ، أشار منافس VMware منافسه إلى أنه عندما تحول Broadcom من الترخيص الدائم لبرامج VMware إلى التسعير القائم على الاشتراك ، أكد العملاء على أن الانتقال لن يؤثر على قدرة العملاء على استخدام تراخيصهم الدائمة الحالية.
في الرسالة ، قال Platform9: “في الأسبوع الماضي ، تم كسر هذا الوعد. وقد أبلغ الكثير منكم عن تلقي أوامر وقف و desist من Broadcom فيما يتعلق باستخدامك لتراخيص VMware الدائمة. تتطلب هذه الرسائل أن تقوم بإزالة/إزالة تصحيحات التثبيت وإصلاحات الأخطاء التي قد تستخدمها”.
وفقًا لـ Platform9 ، يبدو أن تعريف Broadcom لـ “الدعم المرخص” قد تغير. تشير الرسالة إلى أن عملاء VMware الذين لديهم تراخيص دائمة يتم تغطية فقط لتصحيحات الأمان “صفر يوم”. “لا يمكن استخدام تصحيحات الأمان العادية وإصلاحات الأخطاء والتصحيحات البسيطة إلا إذا دفعت الآن لاشتراك مستمر” ، حذر منصة 9 في الرسالة المفتوحة.
دون الوصول إلى التصحيحات ، عملاء VMware الذين يقررون استخدامه دعم الطرف الثالث لتصميم منتجات VMware المرخصة بشكل دائم إلى الاعتماد على الحلول.
بالنظر إلى نقاط الضعف المحددة ، قال Iain Saunderson ، كبير مسؤولي التكنولوجيا في Spinnaker Support ، إن الشركة قدمت لها VMware دعم العملاء الطرف الثالث مع استشارية في غضون ساعات من الإعلان. “هناك حلول نطبقها لتعطيل سلاسل الهجوم المحتملة. إن نهجنا الاستباقي والقوي في الأمان يعني أننا نوفر إصلاحًا سريعًا للعملاء يسهل نشره من ترقية الإصدار أو التصحيح.”
وقال جابي دايميجليو ، كبير مسؤولي أمن المعلومات ، نائب الرئيس الأول والمدير العام لـ Rimini Protect and Watch: “إن فريق الاستخبارات التهديد لدينا يراجع بنشاط ، ويعمل فريق الدعم لدينا العملاء الذين طلبوا المساعدة الخاصة بهم. التكوينات. “
يلاحظ تنبيه الضعف CVE-2025-22247 أن أدوات VMware تحتوي على ثغرة أمنية معالجة الملفات غير الآمنة. يمكن أن يستغل ممثل ضار مع امتيازات غير إدارية على جهاز ضيف افتراضي (VM) الضعف للعبث بالملفات المحلية لإحداث عمليات ملفات غير آمنة ضمن ذلك VM.
قال Rimini Street إن الضعف يسمح للمستخدمين باستغلال عيب في أدوات VMware و A-Tool Open-VM البديل لمعالجة نظام ملفات الجهاز الظاهري. وتوصي باستخدام أدوات VM Open-VM عبر أدوات VMware حيث ممكن.
وفقًا للتحليل من شارع Rimini ، تتعلق CVE-2025-22249 بتعرض نصيبات البرمجة النصية (XSS) من خلال أداة أتمتة VMware ARIA التي تستخدم عادةً من قبل المسؤولين فقط لتسهيل المهام ، وقد لا تستخدم العديد من المنظمات على الإطلاق.
وقال كريج سافاج ، نائب رئيس الأمن السيبراني في دعم Spinnaker: “إن النهج الاستراتيجي للأمن ينطوي على التخفيف الاستباقي. هذا هو بالضبط ما يقدمه مقدمو الخدمات من الطرف الثالث. قبل تطبيق التصحيح ، يقومون بتقييم كيفية تأثير ثغرات الضعف على البيئة ، وضمان أن تكون فجوات الأمن في حالة من الضعف.
وفقًا لـ Savage ، تشكل عمليات السوء مع حالات VCenter المكشوفة على الإنترنت تهديدًا أكبر بكثير من فقدان تصحيح واحد. وقال إن فرق دعم الطرف الثالث قادرة على إجراء مراجعات أمنية استباقية ، وتبحث في وضعية الأمن بأكملها للمؤسسة. وأضاف: “لا يتم إصلاح كلمة مرور الجذر الضعيفة على VCenter باستخدام التصحيح – فهي تتطلب التقييم والعلاج وسياسات الأمان الأفضل”.
