이달 초 Broadcom은 고객에게 영구 라이센스를 위해 구매 한 VMware 제품에 대한 지원 계약을 더 이상 재개하지 않을 것이라고 고객에게 말했습니다.이 지원은 VMware 구독으로 전환 한 사람들에게만 계속 될 것입니다.
회사 IT의 VMware의 중요한 영역을 감안할 때, 많은 조직이 저렴한 비용으로 안전한 가상화 환경을 유지하는 문제에 직면 해 있습니다. 이전에보고 된 바와 같이 Computer Weekly, Broadcom은 VMware Products 포트폴리오를 단순화했으며, 이는 현재 VMware Cloud Foundation에서 여러 제품이 통합되어 비용이 증가합니다.
5 월 12 일 Broadcom은 일부 VMware 제품과 관련된 보안 상담을 발표했습니다. ARIA-BS 도구 세트에 영향을 미치는 One-CVE-2025-22249는 중요한 것으로 표시됩니다. 또 다른 CVE-2025-2247은 VMware 클래식 도구에 적당한 위험으로 영향을 미칩니다.
VMware Aria 8.18.x 및 VMware Tools 11.xx 및 12.xx의 패치를 발표했지만 Broadcom은 우회 트랙을 제공하지 않았습니다.
일부 업계 전문가에 따르면, VMware에서 지속적인 라이센스를 사용하는 고객을위한 해결 방법이없고 패치에 대한 액세스는 Broadcom과 VMware 고객 사이의 격차를 유발할뿐만 아니라 VMware 소유자의 간접적 압력으로 해석하여 고객을 구독 기반 라이센스로 이전 할 수 있습니다.
공개 서한에서 VMware Rival Platform9는 Broadcom이 VMware의 구독 기반 가격에 대한 VMware의 영원한 라이센스에서 전환했을 때 고객에게 전환이 기존 영원한 라이센스를 사용할 수있는 능력에 영향을 미치지 않을 것이라고 보증했습니다.
그는 플랫폼의 편지 9에서 다음과 같이 말했습니다 :“지난 주 에이 약속은 깨졌습니다. 많은 분들 중 많은 사람들이 VMware의 영원한 라이센스 사용과 관련하여 Broadcom으로부터 중단 및 취소 명령을 받았다고보고했습니다.이 편지는 사용할 수있는 삭제/신장 및 오류가 필요합니다.”
Platform9에 따르면 Broadcom의 “라이센스 지원”의 정의는 변경된 것으로 보입니다. 이 서한은 영원한 라이센스가있는 VMware 고객은 “0”보안 수정에만 적용됩니다. Platform9는 공개 서한에서“정기 보안 수정, 오류 및 사소한 수정은 현재 일정한 가입 비용을 지불하는 경우에만 사용할 수 있습니다.
패치에 액세스 할 수 없으면 끊임없이 라이센스가 부여 된 VMware 제품의 세 번째 파티 지원을 사용하기로 결정한 VMware 고객은 직장에 의존해야합니다.
Spinnaker Support의 지원 담당 이사 인 Iain Saunderson은 구체적인 취약점을 고려할 때 발표 후 몇 시간 동안 VMWARE 지원 고객에게 세 번째 파티 지원을 제공했다고 밝혔다. “가능한 공격 체인을 위반하기 위해 구현하는 바이 패스 경로가 있습니다. 보안에 대한 선제 적 및 신뢰할 수있는 접근 방식은 버전이나 패치를 업데이트하는 것보다 배포하기 쉬운 고객이 빠르게 사용할 수 있음을 의미합니다.”
Rimini Protect and Watch의 수석 부사장 겸 총괄 부사장 인 Gabe Dimeglio는 다음과 같이 말했습니다 :“우리의 위협 정찰 팀은 적극적으로 고려하고 있으며 지원 팀은 지원을 요청하는 고객을 돕고 있습니다. 우선 순위 사례에 대한 10 분 동안의 SLA 응답 시간이 있습니다. 우리는 고유 한 환경에서 특정 애플리케이션을 기반으로 각 고객과 함께 개별적으로 일합니다. 그들의 고유 한 수단을 기반으로합니다.
CVE-2025-22247의 취약성에 대한 알림은 VMware 도구에 파일 처리의 안전하지 않은 취약점이 포함되어 있다고 지적합니다. 게스트 가상 머신 (VM)에 비 관리 권한이있는 학대받는 배우는 취약성을 사용하여 로컬 파일에 개입 하여이 가상 머신에서 안전하지 않은 파일을 시작할 수 있습니다.
Rimini Street는 취약점을 통해 사용자가 VMware 도구의 결핍과 대체 열린 VM-Tool을 사용하여 가상 머신 파일 시스템을 조작 할 수 있다고 말했다. 그는 가능한 경우 VMware 도구를 통해 열린 VM 도구를 사용하는 것이 좋습니다.
Rimini Street와의 분석에 따르면 CVE-2025-2249는 VMware ARIA Automation Tool을 사용하여 스크립트 스크립트 (XSS)의 취약성을 말하며, 일반적으로 관리자가 작업을 용이하게하기 위해 사용하는 경우에만 사용하지 않으며 많은 조직이 전혀 사용하지 않을 수 있습니다.
Spinnaker를 지원하는 사이버 보안 담당 부사장 인 Craig Savage는 다음과 같이 말했습니다 :“안전에 대한 전략적 접근 방식에는 사전 연화가 포함됩니다. 이것은 정확히 세 번째 파티 공급 업체가 제공하는 것입니다. 패치를 적용하기 전에, 취약성이 환경에 미치는 영향을 평가하여 안전의 차이가 폐쇄 될 수 있도록 보장합니다.
Savage에 따르면 인터넷에서 vCenter의 열린 표본과 같은 잘못된 수수료는 하나의 패치를 놓치는 것보다 훨씬 더 큰 위협을 제기합니다. 그는 제 3 자 지원 팀이 조직의 전체 안전 위치를 살펴보면 선제 보안 검토를 수행 할 수 있다고 말했다. “vCenter의 루트의 약한 비밀번호는 패치에 할당되지 않았으며 평가, 수정 및 최상의 보안 정책이 필요합니다.”
