独占情報ブロードコムの VMware 事業の一部顧客は現在、セキュリティ パッチにアクセスできず、攻撃を受けるリスクが高まっている。
VMwareは、オランダ政府の重要な機関がプラットフォームから移行する際に支援する必要があると裁判所が判決
続きを読む
このような危険な状況にあるお客様は、VMware製品の永久ライセンスを保有しているものの、Broadcomとのサポート契約を締結しておらず、ユーザーがソフトウェアサブスクリプションに加入しない限り、Broadcomはサポート契約を更新しません。しかし、このような状況にある多くのお客様は、Broadcomがパッチやアップデートで継続的にサポートしている製品を利用しています。
2024年4月、ブロードコムのCEOであるホック・タン氏は、「vSphereのサポート対象バージョンに対するゼロデイセキュリティパッチへの無料アクセス」を約束し、顧客が「永久ライセンスを安全かつ確実に使用できるようにする」と述べた。
VMware のパッチは無料では入手できないため、ユーザーはソフトウェアにアクセスするには Broadcom のサポート ポータルにログオンする必要があります。
このような状況にある VMware ユーザーの中には、The Registerに対し、ポータルにアクセスしてもパッチをダウンロードできず、VMware サポート スタッフからソフトウェアの修正プログラムが利用可能になるまで 90 日かかる可能性があると言われたと話している人もいます。
ある VMware の顧客が次のスクリーンショットを共有しました。
VMware サポートが顧客とパッチの可用性について話し合っている - クリックして拡大
VMware の広報担当者は、現在一部の顧客がパッチにアクセスできないことを確認した。
「当社のサポートポータルでは、ソフトウェアパッチに対する顧客の資格の確認が必要なため、現時点では資格のある顧客のみがパッチにアクセスできます」と広報担当者は説明した。
これは、上記のスクリーンショットのコメントを裏付けるもので、Broadcom のサポート スタッフが次のように書いています。「サポート ポータルの最近の変更は、資格確認に関連しており、資格の期限が切れたお客様へのパッチの提供に遅延が生じます。」
VMware の広報担当者は、「資格のない顧客向けにも別のパッチ配信サイクルが用意されており、後日提供されます」と語った。
広報担当者はその後の日付については詳細を明かさなかった。また、上のスクリーンショットが示すように、ユーザーは5月下旬以降、パッチにアクセスできていない。
攻撃者は VMware 実装をターゲットにすることが知られているため、これは明らかに最適ではない状況です。
- VMwareは主力製品であるCloud Foundationスイートのリリースペースを遅らせたが、サポートは延長した。
- VMwareがパートナープログラムを再開 – 小規模なプレーヤーは撤退の兆し
- テレフォニカ・ドイツ、高額な更新費用のためVMwareのサポートをSpinnakerに委託
- シトリックスは、まだその用途には適していないとしている製品で、主流のハイパーバイザー市場への復帰を示唆している。
VMwareは2025年に11件のセキュリティアドバイザリを公開しました。その中には、先週公開された、仮想マシンの管理者権限を持つ攻撃者がホストマシン上でコードを実行できる、深刻度が「緊急」の脆弱性に関する警告も含まれています。これは、仮想化環境で発生しうる最悪の事態と言えるでしょう。
The Registerが先月明らかにしたように、オランダの裁判所は、BroadcomのVMware子会社に対し、オランダのインフラ・水管理省の執行機関であるRijkswaterstaat(RWS)に対して少なくとも2年間ソフトウェアサポートを提供し続けるよう命じた。
RWS は、永久ライセンスに基づいて 15 年以上 VMware のサーバー仮想化を使用していたが、同じソフトウェアの使用とサポートを継続するには 85% もコストがかかるとして、サブスクリプション ライセンス契約の購入を拒否した。
以前、この法廷闘争について VMware にコメントを求めましたが、回答はありませんでした。®
