VMware 2 октября 2025 года прекратила поддерживать продукт vSphere 7.0. Для него больше не будут выпускать обновления и патчи безопасности, что касается и критических уязвимостей.
Именно эта версия стала последней, доступной для рынка РФ, отмечают в CNews. Ею пользовались на тот момент до 80% отечественных компаний.
Те, кто продолжал пользоваться ПО VMware, находили обходные пути, в том числе покупали софт через дочерние юрлица в другой стране, либо скачивали обновления в альтернативных открытых каналах. Теперь же вендор вводит новые меры против обхода ограничений. После слияния VMware с Broadcom в 2023 году продлить работу продукта можно только по подписке, а, чтобы получить новую лицензию, нужно полностью менять все ключи с 7.0 на 8.0. В России это сделать по официальным каналам невозможно.
Летом VMware объявила о завершении текущей партнёрской программы и запуске новой, доступ к которой будет предоставляться только по приглашениям. По новой программе, большинство малых и средних компаний не получат приглашения. После этого сообщалось, что некоторые владельцы бессрочных лицензий VMware не могут загрузить обновления безопасности. Broadcom тогда пообещала выдать обновления «в более поздний срок», но не указала дату. Это увеличивает риски для пользователей.
Доступ к загрузке любых обновлений требует авторизации на официальном сайте компании. «Если VMware заметит подозрительную активность, возможна деавторизация всех участников пиратской схемы, включая и российских, и зарубежных интеграторов и дистрибьюторов. Это влечет за собой вероятность блокировки уже существующих лицензий и сбоев в работе систем. На фоне этого тех, кто хочет воспользоваться “серыми” схемами, станет гораздо меньше, и количество обходных путей также будет сокращаться», — отметил директор по развитию бизнеса Orion soft Максим Березин.
По его словам, многие компании уже закупают российское ПО для контура критической инфраструктуры, чтобы соответствовать требованиям регуляторов. Однако коммерческий сектор не спешил уходить от решений VMware, поделился Березин.
При этом в продукте VMware vSphere регулярно находят уязвимости разной степени критичности. Например, CVE-2024-37080 позволяет обладателю сетевого доступа к vCenter Server и Cloud Foundation удалённо выполнять произвольный код, отправив специально сформированный сетевой пакет. А в мае 2025 года белый хакер из команды STARLabs SG смог взломать гипервизор ESXi, обнаружив критическую уязвимость переполнения целого числа.
В октябре 2025 года стало известно о критической уязвимости CVE-2025-41244, которая позволяет злоумышленнику эскалировать свои права до системного уровня без дополнительной аутентификации.
Источник: habr.com