Category: vSphere

Posted on

BRICKSTORM – “sårbarhet” eller något värre? Så hänger den ihop med vCenter & ESXi (och hur du skyddar och upptäcker angrepp)

Det pratas ibland om “BRICKSTORM-sårbarheten”, men det är viktigt att reda ut begreppen: BRICKSTORM är i första hand en bakdörr/malware-familj som används för långvarig, smygande åtkomst – inte en enskild CVE i sig. Den har observerats i intrång där angripare tar sig in (ofta med stulna legitimationer eller via andra sårbarheter), och sedan installerar BRICKSTORM på VMware vSphere-miljöer, särskilt vCenter och ESXi, eftersom de ger kontroll över hela den virtualiserade infrastrukturen.

Nedan får du en praktisk och defensivt fokuserad genomgång: hur BRICKSTORM relaterar till vCenter/ESXi, varför den är farlig, samt konkreta skydds- och detektionsåtgärder.

Varför vCenter och ESXi är så attraktiva mål

I många organisationer är vCenter “kontrollplanet”: där finns åtkomst till att skapa/ändra VM:ar, snapshotta, klona, hantera nätverk och lagring, och ofta även integreringar mot identitet (AD/SSO).

När en angripare får fotfäste på vCenter/ESXi kan de i praktiken:

  • Skapa eller dölja “rogue” VM:ar för att köra verktyg, pivotera eller exfiltrera data.
  • Stjäla snapshots/kloner av VM:ar och sedan extrahera credentials offline (en extremt effektiv credential access-väg).
  • Tunnla trafik (t.ex. via SOCKS-proxy-funktion) så att kommandokontroll och lateral rörelse ser “normal” ut från insidan.
  • Utnyttja privilegierade konton/komponenter i vSphere (t.ex. vCenter-konton, vpxuser i vissa scenarier) för att röra sig sidledes.

Poängen: om angriparen kontrollerar vCenter kontrollerar de ofta allt som körs på ESXi.

Vad BRICKSTORM är och vad den gör

Enligt den gemensamma analysen (CISA/NSA/Canadian Centre for Cyber Security) är BRICKSTORM en sofistikerad bakdörr som setts mot VMware vSphere (vCenter och ESXi) samt Windows. Den används för långvarig persistence och kommer med indikatorer och detektionssignaturer (bl.a. YARA och Sigma).

Kända/rapporterade egenskaper i kampanjerna inkluderar bland annat:

  • Lång “dwell time” (angriparen ligger kvar länge innan upptäckt).
  • Krypterade C2-kanaler (t.ex. HTTPS/WebSockets/TLS/DoH i rapporterad aktivitet) och ibland proxyfunktion för pivotering.
  • Masquerading (binärer med legitima namn/utseende) och persistence via uppstartsskript/paths.

Typisk angreppsbild kopplad till vCenter/ESXi

Även om intrång kan börja på olika sätt, återkommer ofta ett mönster:

  1. Initial access: internetexponerade edge-enheter, stulna credentials (t.ex. MSP-konton), eller exploaterade sårbarheter som ger fotfäste.
  2. Pivot till vCenter: angriparen tar sig till management-nät/administrationsplan.
  3. Installation av BRICKSTORM på vCenter (och ibland vidare mot ESXi/VM:ar), för stabil och dold åtkomst.
  4. Missbruk av vCenter-funktioner: snapshots, kloner, “rogue” VM:ar, credential harvesting och vidare lateral movement.

I ett rapporterat incidentexempel hade angripare åtkomst från april 2024 och använde BRICKSTORM för persistence åtminstone fram till 3 september 2025 efter att ha laddat upp den till en intern vCenter-server.

Skydd: så minskar du risken att bli nästa vCenter/ESXi-offer

Här är en defensiv checklista med hög “bang for the buck”.

1) Separera och lås ner management-planet

  • Isolera vCenter/ESXi management i ett separat nät (ingen direkt access från klientnät/DMZ).
  • Tillåt administration endast via jump hosts/bastion med hårda kontroller.
  • Blockera utgående trafik från vCenter/ESXi så långt det går (default deny, tillåt bara det som behövs).

Varför: BRICKSTORM-kampanjer utnyttjar ofta att kontrollplanet är “för nära” resten av miljön och att verktyg/EDR inte alltid täcker appliances.

2) Stärk identitet och åtkomst

  • MFA överallt för administrativ access (SSO/IdP, VPN, bastion, vCenter).
  • Minimera och granska privilegier: separata admin-konton, “just enough admin”.
  • Rotera och skydda servicekonton (särskilt om du är MSP eller har många tenants).
  • Larma på nya API-tokens, nya administratörer, och ovanliga inloggningar.

3) Patcha och hårdna vSphere-komponenterna

  • Håll vCenter och ESXi strikt uppdaterade (även om BRICKSTORM inte är “en CVE”, utnyttjas den ofta efter att angriparen fått access via svaga länkar).
  • Stäng av onödiga tjänster (t.ex. begränsa/disable SSH när det inte behövs).
  • Aktivera och använd Lockdown Mode där det är möjligt, och strama åt brandväggsregler på ESXi.
  • Följ VMware hardening guides (och håll konfigurationsavvikelser under kontroll).

4) Säkerhetskopiera och gör recovery realistiskt

  • Ha offline/immutabla backuper av kritiska system (inkl. vCenter-konfig, viktiga VM:ar).
  • Öva återställning: om vCenter komprometteras kan du behöva återbygga snarare än “städa”.

Detektion: så upptäcker du BRICKSTORM och liknande aktivitet

Eftersom traditionell endpoint-telemetri ofta är begränsad på appliances behöver du kombinera loggar, nätverksdetektion och vSphere-specifik övervakning.

1) Använd officiella IOCs + YARA/Sigma

Den gemensamma rapporten innehåller indikatorer och detektionssignaturer (YARA & Sigma) och uppdaterades senast 19 december 2025. Börja där och implementera matchning i din SIEM/EDR/NDR/hunting-pipeline.

Praktiskt tips:

  • Kör YARA där du kan (forensiska image-sökningar, EDR på Linux/Windows där relevant).
  • Kör Sigma-regler i SIEM (översätt vid behov till din plattformsformat).

2) Övervaka vCenter för “administrativt missbruk”

Larma/hunta på:

  • Ovanliga snapshot- och kloningsmönster (tidpunkt, frekvens, mål-VM:ar).
  • Skapande av nya VM:ar som snabbt skapas/avregistreras/stängs ner (kan vara “rogue”/dolda).
  • Nya/oväntade konton, rolländringar och behörighetseskaleringar.
  • Aktivitet från oväntade IP-adresser mot vCenter API/UI.

3) Nätverksdetektion: leta efter “osannolika” utgående mönster

BRICKSTORM-aktivitet har rapporterats använda krypterade protokoll och ibland proxyfunktioner, vilket gör att klassisk signaturbaserad detektion kan vara svår.

Larma på:

  • vCenter/ESXi som plötsligt gör nya utgående TLS/HTTPS-förbindelser till okända destinationsnät.
  • DNS-over-HTTPS-liknande beteenden från system som normalt inte behöver det.
  • Tecken på tunnling/proxy (t.ex. många interna destinationsförsök som “kommer från” vCenter/ESXi).

4) Host-baserad jakt på vCenter/ESXi (när du kan)

På vCenter Server Appliance (VCSA) är det extra värdefullt att:

  • Samla in och centralt lagra loggar (syslog) från vCenter/ESXi.
  • Larma på förändringar i uppstart/persistence-mekanismer (init-/startup-skript, ovanliga binärer, PATH-manipulation, tjänster som inte borde finnas).

Obs: Exakta filnamn/artefakter varierar mellan varianter och kan vara anpassade per offer, så basera inte allt på en enda IOC. Kombinera TTP-baserad jakt + officiella signaturer.

Om du misstänker intrång: snabb IR-checklista (vCenter/ESXi)

  1. Isolera management-nätet (kontrollerat): stoppa utgående trafik från vCenter/ESXi där möjligt.
  2. Säkra bevis: ta forensiska snapshots/exports av relevanta loggar och system (innan “städning”).
  3. Jämför mot rapportens IOCs + regler (YARA/Sigma).
  4. Rotera credentials: särskilt vCenter admin, SSO/IdP, servicekonton, och alla konton som kan nå management-planet.
  5. Granska vSphere-händelser: snapshots, kloner, nya VM:ar, rolländringar.
  6. Planera för återuppbyggnad: i vissa fall är säkraste vägen att återställa/återinstallera vCenter från “known good” och återansluta hostar kontrollerat.

Sammanfattning

BRICKSTORM är farlig av en enkel anledning: den siktar på din kontrollyta, inte dina vanliga endpoints. När vCenter/ESXi komprometteras kan angriparen:

  • extrahera credentials via snapshots,
  • skapa/dölja VM:ar,
  • och använda plattformen som språngbräda för långvarig åtkomst.

Skyddet handlar därför om att låsa ner management-planet, stärka identitet, segmentera, begränsa utgående trafik och bygga detektion som faktiskt täcker vSphere – plus att implementera de IOCs och YARA/Sigma-regler som publicerats i den gemensamma analysen.

Finns det något verktyg för detektering av BRICKSTORM?

Utöver klassisk logg- och nätverksövervakning finns det nu specialiserade verktyg framtagna specifikt för att upptäcka spår av BRICKSTORM i VMware-miljöer. Ett av de mest användbara är brickstorm-scanner, ett öppet verktyg publicerat av Mandiant.

🔗 https://github.com/mandiant/brickstorm-scanner

Vad är brickstorm-scanner?

brickstorm-scanner är ett forensiskt detektionsverktyg som är designat för att identifiera indikatorer på BRICKSTORM-kompromettering, med särskilt fokus på:

  • vCenter Server Appliance (VCSA)
  • ESXi-hostar
  • Linux-system som kan ha använts i attackkedjan

Verktyget är utvecklat baserat på Mandiants incidentresponsarbete och publika hotunderrättelser kring BRICKSTORM.

Vad letar verktyget efter?

brickstorm-scanner söker efter flera typer av artefakter som är typiska för BRICKSTORM-operationer, bland annat:

  • Kända filhashar och binärer
  • Ovanliga eller modifierade start-/persistence-mekanismer
  • Misstänkta processer och tjänster
  • Avvikelser i filsystemet som tyder på masquerading
  • Spår av bakdörrsinstallation på vCenter/VCSA

Viktigt: verktyget är byggt för detektion och triage, inte för borttagning. Ett positivt fynd ska alltid följas av en fullständig incidenthantering.

Hur och när bör verktyget användas?

brickstorm-scanner passar särskilt bra i följande scenarier:

  • Threat hunting i vSphere-miljöer
  • Efter misstänkt intrång (t.ex. ovanliga vCenter-händelser, snapshots, eller nätverkstrafik)
  • Proaktiv kontroll av högvärdessystem som vCenter

Rekommenderad praxis:

  1. Kör verktyget offline eller i ett kontrollerat IR-läge
  2. Samla och spara resultat som forensiskt bevismaterial
  3. Korrelatera fynd med:
    • vCenter-/ESXi-loggar
    • SIEM-larm
    • Nätverksdata
    • Officiella IOCs och YARA/Sigma-regler

Begränsningar att känna till

Som med alla IOC-baserade verktyg gäller:

  • Ett negativt resultat betyder inte att miljön är ren
  • BRICKSTORM-aktörer är kända för att:
    • Anpassa filnamn och paths
    • Kompilera unika varianter per offer
  • Verktyget bör därför användas som en del av en större detektionsstrategi, inte som enda skydd

Rekommenderad kombination

För bästa effekt bör brickstorm-scanner användas tillsammans med:

  • Centraliserad logginsamling från vCenter & ESXi
  • Nätverksövervakning (NDR) för utgående trafik från management-planet
  • Regelbunden granskning av snapshots, kloner och VM-skapande
  • Stark identitetssäkerhet (MFA, begränsade API-tokens, bastion access)

Officiella resurser från VMware (BRICKSTORM-guidelines)

För att hjälpa organisationer att skydda sina VMware-miljöer mot avancerade hot som BRICKSTORM har VMware publicerat en samling guider och resurser inom sitt Security & Compliance Guidelines-repo på GitHub.

Resurserna ligger under katalogen ransomware-resources/BRICKSTORM i detta repo:
https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/ransomware-resources/BRICKSTORM

Även om GitHub-sidan i sig inte är en fullständig “instruktionsmanual”, fungerar den som en samling av riktlinjer, verktyg och konfigurationsguider som du kan använda för att:

Förbättra din säkerhetskonfiguration

I hela vcf-security-and-compliance-guidelines-projektet finns exempel på:

  • Hardening-riktlinjer för VMware-komponenter (som vCenter och ESXi) för att minska ytan för angrepp.
  • Checklistor och policyer som hjälper dig att säkra både VMware Cloud Foundation och vSphere.
  • Ransomware-resurser kategoriserade utifrån olika hot, inklusive BRICKSTORM, som ger en defensiv ram att arbeta utifrån.

Exempel på vad du får hjälp med

Guidelines-projektet är inte bara en kodbas – det innehåller:

  • Security Configuration Hardening Guide: detaljerade rekommendationer för hur du sätter säkerhetsinställningar rätt i VMware-produkter.
  • Ransomware-resurser: samlade dokument och best practices för att förbereda, upptäcka och återhämta dig från intrång som involverar ransomware-liknande bakdörrar såsom BRICKSTORM.
  • Exempelskript, politiska kontroller och rådatat: som kan implementeras i verktyg och automationer i din miljö.

Hur dessa riktlinjer hjälper mot BRICKSTORM

Den BRICKSTORM-specifika delen av VMware-guiden är tänkt att komplettera andra detektions- och skyddsåtgärder – som de vi redan nämnt (t.ex. brickstorm-scanner). Den används bäst i kombination med:

  • Standard hardening-guider för vSphere/vCenter, som minskar attackytan generellt.
  • Policy-drivna kontroller och larm i din SIEM/övervakningslösning.
  • Automatiserade compliance-kontroller, vilket gör det lättare att se avvikelser från “known good”-konfigurationer.

Eftersom VMware-guiden underhålls tillsammans med andra säkerhetsresurser innebär det att du får kontinuerligt uppdaterade best practices som hjälper dig att:

* implementera least privilege och hård autentisering
* konfigurera loggning och audit trails
* upptäcka avvikelser i konfigurationer
* förbereda återställningspunkter och resilient design

Att använda dessa riktlinjer är ett sätt att proaktivt minska risken för BRICKSTORM-komprometteringar istället för att enbart reagera efter att ett intrång inträffat.

Posted on

Optimera din VMware VCF miljö

Varför prestandaoptimering i vSphere är viktigt

När du kör virtuella maskiner med vSphere delar flera VM:ar på samma underliggande fysiska resurser — CPU, minne, I/O, nätverk och lagring. Om inte dessa resurser är korrekt konfigurerade och balanserade kan det leda till flaskhalsar, låg responstid, eller att vissa VM:ar påverkar andra negativt. Därför är det viktigt att följa vissa best practices för att få ut maximal prestanda, stabilitet och effektiv resursanvändning.

Därför publicerar VMware riktlinjer för hur hårdvara, ESXi-konfiguration, virtuell maskin-konfiguration, lagring, nätverk och infrastrukturhantering bör utformas.

Rekommendationer för hårdvara

CPU & virtualisering

  • Välj CPU:er som stöder hårdvaruassisterad virtualisering — t.ex. Intel VT-x / AMD-V, och för minneshantering Intel EPT eller AMD RVI.
  • Kontrollera att hårdvaran finns med på vSphere: s officiella kompatibilitetslista.
  • Undersök minnet noga — exempelvis genom att köra test under 72 timmar för att upptäcka eventuella minnesfel innan produktion.

Minnes- och lagringskonfiguration

  • Om du använder minnestiering (memory tiering) — en ny möjlighet i vSphere 9.0 — bör du välja NVMe-enheter med hög uthållighet och minst 100 000 skrivningar per sekund (per enhet) för att hantera belastning bra.
  • För lagringsenheter: använd snabba back-end-lösningar med rätt RAID, cache och ”stripe size” beroende på arbetsbelastning.
  • För flash / SSD / NVMe: överväg PCIe-anslutna NVMe-kort — de ger oftast bäst prestanda.

Nätverk & I/O-kort

  • När du använder snabb lagring — t.ex. NVMe eller flash för swap / cache — är det viktigt att nätverk och I/O-kort (t.ex. PCIe-kort) placeras i platser med tillräcklig bandbredd (tillräckligt många ”lanes”).

Virtuell maskin & ESXi — inställningar som påverkar prestanda

När hårdvaran är på plats är följande inställningar viktiga:

  • Undvik överdriven minnes-overcommit: överutnyttja inte värdens minne på bekostnad av prestanda.
  • Använd “Large Memory Pages” (t.ex. 2 MB sidor) där det är möjligt — det kan minska overhead och förbättra minnesprestanda.
  • För arbetsbelastningar som är känsliga för latens — t.ex. databaser — se till att lagring, I/O-vägar och nätverk är korrekt konfigurerade för låg latens.
  • Vid användning av funktioner som direkt I/O-åtkomst (t.ex. SR-IOV, DirectPath I/O) — konfigurera korrekt för att undvika prestandaförsämringar.

Infrastruktur- och management-nivå: vCenter & hantering

Prestanda påverkas inte bara av hårdvara och VM-konfiguration — även hur infrastrukturen hanteras spelar stor roll:

  • Om du använder vCenter Server: tänk igenom databas- och lagringskonfiguration för vCenter, särskilt med avseende på nätverk och I/O.
  • Använd resurshantering — t.ex. kluster med VMware Distributed Resource Scheduler (DRS), VMware vMotion / Storage vMotion och VMware vSAN (om relevant) — men dimensionera och konfigurera dessa med omsorg för att undvika prestandaproblem.
  • För vSAN: välj mellan ”all-flash” eller hybrid beroende på krav — och planera nätverk, lagring och layout noggrant.

Hur du kommer igång — praktiska tips

  1. Inventera din hårdvara – kontrollera att CPU, minne, lagrings- och nätverkskort är kompatibla med vSphere 9.0. Kör minnestest om möjligt.
  2. Planera din lagrings- och I/O-struktur – välj lagringsenheter med tillräcklig prestanda, undvik översubskription av I/O, konfigurera korrekt PCIe-bandbredd.
  3. Tänk på hakearbeten och latens-känsliga arbetsbelastningar – använd Large Pages, dedikerade resurser, och överväg direkt I/O/SR-IOV om det behövs.
  4. Konfigurera resurshantering och kluster med omsorg, t.ex. DRS, vMotion, vSAN, sambandet mellan resurser och verkliga arbetsbelastningar.
  5. Övervaka prestanda kontinuerligt — missa inte att gå igenom vCenter-loggar, övervaka I/O, CPU, minne och svarstider på VM:ar.

Slutsats

Att driftsätta en virtuell miljö med vSphere 9.0 är mer än bara att installera ESXi och vCenter — det kräver noggrann planering av hårdvara, lagring, nätverk och konfigurationer för att verkligen få ut god prestanda. Genom att följa best practices från dokumentet kan du skapa en stabil, effektiv och högpresterande virtualiseringsmiljö.

Läs hela dokumentet här: https://www.vmware.com/docs/vsphere-esxi-vcenter-server-90-performance-best-practices

Posted on

Viktig säkerhetsuppdatering för VMware-produkter: Flera sårbarheter åtgärdade

Den 20 maj 2025 publicerade Broadcom en viktig säkerhetsrådgivning (VMSA-2025-0010) som adresserar flera sårbarheter i VMware-produkter, inklusive ESXi, vCenter Server, Workstation och Fusion. Dessa sårbarheter har olika allvarlighetsgrader och kan potentiellt utnyttjas av illvilliga aktörer för att kompromettera system.

Översikt över sårbarheterna

  1. CVE-2025-41225 – Autentiserad kommandokörning i vCenter Server
    • Beskrivning: En användare med rättigheter att skapa eller ändra larm och köra skript kan utnyttja denna sårbarhet för att köra godtyckliga kommandon på vCenter Server.
    • CVSSv3-poäng: 8.8 (Hög allvarlighetsgrad)
    • Åtgärd: Uppdatera till vCenter Server 8.0 U3e eller 7.0 U3v.
  2. CVE-2025-41226 – Tjänsteavbrott via gästoperationer i ESXi
    • Beskrivning: En autentiserad användare med rättigheter att utföra gästoperationer kan orsaka ett tjänsteavbrott i virtuella maskiner med VMware Tools installerat.
    • CVSSv3-poäng: 6.8 (Måttlig allvarlighetsgrad)
    • Åtgärd: Uppdatera till ESXi 8.0 U3se eller 7.0 U3sv.
  3. CVE-2025-41227 – Tjänsteavbrott via gästalternativ i ESXi, Workstation och Fusion
    • Beskrivning: En användare med icke-administrativa rättigheter inom ett gästoperativsystem kan utnyttja vissa gästalternativ för att förbruka värdprocessens minne, vilket leder till ett tjänsteavbrott.
    • CVSSv3-poäng: 5.5 (Måttlig allvarlighetsgrad)
    • Åtgärd: Uppdatera till ESXi 8.0 U3se, 7.0 U3sv, Workstation 17.6.3 eller Fusion 13.6.3.
  4. CVE-2025-41228 – Reflekterad Cross-Site Scripting (XSS) i ESXi och vCenter Server
    • Beskrivning: Otillräcklig validering av indata kan tillåta en angripare med nätverksåtkomst att injicera skadlig kod via vissa URL-vägar, vilket kan leda till stöld av cookies eller omdirigering till skadliga webbplatser.
    • CVSSv3-poäng: 4.3 (Måttlig allvarlighetsgrad)
    • Åtgärd: Uppdatera till vCenter Server 8.0 U3e eller 7.0 U3v, samt ESXi 8.0 U3se eller 7.0 U3sv.

Påverkade produkter och rekommenderade uppdateringar

ProduktVersionerÅtgärd
VMware vCenter Server8.0, 7.0Uppdatera till 8.0 U3e eller 7.0 U3v
VMware ESXi8.0, 7.0Uppdatera till 8.0 U3se eller 7.0 U3sv
VMware Workstation17.xUppdatera till 17.6.3
VMware Fusion13.xUppdatera till 13.6.3
VMware Cloud Foundation5.x, 4.5.xAnvänd asynkrona patchar enligt KB88287
VMware Telco Cloud Platform5.x, 4.x, 3.x, 2.xUppdatera till ESXi 8.0 U3se
VMware Telco Cloud Infrastructure3.x, 2.xUppdatera till ESXi 8.0 U3se eller 7.0 U3sv

För detaljerade instruktioner och nedladdningslänkar, besök den officiella säkerhetsrådgivningen:

Broadcom Security Advisory VMSA-2025-0010

Rekommendationer

  • Omedelbar uppdatering: Administratörer bör snarast uppdatera sina system enligt ovanstående rekommendationer för att skydda mot potentiella attacker.
  • Ingen tillfällig lösning: Det finns inga kända tillfälliga lösningar för dessa sårbarheter; uppdatering är den enda åtgärden.
  • Övervakning: Fortsätt att övervaka officiella kanaler för eventuella ytterligare uppdateringar eller information.

Att snabbt åtgärda dessa sårbarheter är avgörande för att upprätthålla säkerheten i din IT-miljö. Genom att följa de rekommenderade uppdateringarna kan du minimera risken för attacker och säkerställa systemens integritet.

Posted on

Sårbarhet i VMware Tools

​Den 25 mars 2025 publicerade VMware en säkerhetsrådgivning, VMSA-2025-0005, som behandlar en autentiseringsförbigångssårbarhet (CVE-2025-22230) i VMware Tools för Windows. Denna sårbarhet har en CVSSv3-baspoäng på 7,8, vilket klassificeras som viktigt.​

Påverkade produkter:

  • VMware Tools versioner 11.x.x och 12.x.x som körs på Windows.​

Beskrivning av sårbarheten:

Sårbarheten beror på bristfällig åtkomstkontroll i VMware Tools för Windows. En illasinnad aktör med icke-administrativa rättigheter på en Windows-gäst-VM kan utnyttja denna brist för att utföra vissa högprivilegierade operationer inom den virtuella maskinen.​

Åtgärd:

För att åtgärda CVE-2025-22230 rekommenderas det att uppdatera till VMware Tools version 12.5.1. Denna uppdatering innehåller nödvändiga patchar för att eliminera sårbarheten. Notera att VMware Tools 12.4.6, som ingår i VMware Tools 12.5.1, adresserar problemet för Windows 32-bitars system.​

Workarounds:

Det finns inga kända workarounds för denna sårbarhet.​

Påverkade plattformar:

  • Windows: Påverkas och bör uppdateras till version 12.5.1.​
  • Linux och macOS: Påverkas inte av denna sårbarhet.​

Rekommendation:

Administratörer som hanterar VMware-miljöer bör omedelbart uppdatera VMware Tools för Windows till version 12.5.1 för att skydda sina system mot potentiella angrepp som utnyttjar denna sårbarhet.

Posted on

Kritiska Säkerhetsuppdateringar för VMware vCenter Server

Den 21 oktober 2024 släppte Broadcom en uppdaterad säkerhetsrådgivning som adresserar två allvarliga säkerhetsproblem i VMware vCenter Server och VMware Cloud Foundation: en heap-överflödes-sårbarhet (CVE-2024-38812) och en privilegieförhöjnings-sårbarhet (CVE-2024-38813).

Båda sårbarheterna har en kritisk CVSSv3-poäng på upp till 9,8, och kan potentiellt leda till fjärrkörning av skadlig kod eller ge en angripare högre systembehörighet. VMware har uppmanat alla kunder att installera de senaste säkerhetsfixarna så snabbt som möjligt för att skydda sina system.

Heap-overflow och Privilegieförhöjning: CVE-2024-38812 är en heap-overflow-sårbarhet i DCERPC-protokollet som kan användas för att skicka specialdesignade nätverkspaket och möjliggöra fjärrkodexekvering. CVE-2024-38813 är en sårbarhet som gör det möjligt för en angripare att eskalera sina privilegier till root genom att skicka särskilda paket till vCenter Server.

Påverkade Produkter och Uppdateringar:

  • VMware vCenter Server och VMware Cloud Foundation är de primära produkterna som påverkas.
  • Uppdateringar finns nu tillgängliga för versionerna 8.0 och 7.0. Broadcom har också bekräftat att tidigare utgivna patchar från september 2024 inte helt löste sårbarheterna, vilket gör att de nu tillhandahåller uppdaterade patchar.

Rekommendation: Alla VMware-användare uppmanas starkt att omgående tillämpa de senaste patcharna som anges i Broadcoms svarsmatris för att skydda sina system mot potentiella hot.

För mer information, besök Broadcoms säkerhetsrådgivning här.

Posted on

Kritiska Sårbarheter i VMware vCenter Server

Broadcom har nyligen utfärdat en säkerhetsrådgivning för att varna användare om två kritiska sårbarheter som upptäckts i VMware vCenter Server: CVE-2024-38812 och CVE-2024-38813. Båda dessa sårbarheter har potential att allvarligt påverka systemets säkerhet och integritet, och därför är det avgörande att förstå vad de innebär och hur de kan åtgärdas.

Sårbarheter i Detalj

  1. CVE-2024-38812 – Heap Overflow i DCERPC
    • Denna sårbarhet är kopplad till ett heap-overflow i DCERPC-protokollet. Den kan utnyttjas av en illasinnad aktör som har nätverksåtkomst till vCenter Server för att köra godtycklig kod. Med andra ord kan angripare få kontroll över systemet genom att utnyttja denna brist. I och med att DCERPC är ett viktigt protokoll för kommunikation mellan nätverkstjänster, gör detta sårbarheten mycket allvarlig.
    • Sårbarheten kan användas för att kompromettera hela systemet, vilket innebär att den ger möjlighet till fjärrkodkörning utan att användaren behöver interagera aktivt med en infekterad fil eller länk.
  2. CVE-2024-38813 – Eskalering av Privilegier
    • Den andra sårbarheten kan utnyttjas för att eskalera rättigheter till root-nivå. Detta innebär att om en angripare har lyckats få någon form av åtkomst till systemet kan denne uppgradera sina rättigheter för att få full kontroll över vCenter Server. En eskalering till root-nivå kan innebära att angriparen får möjlighet att göra omfattande systemändringar, vilket ytterligare ökar risken för dataförlust och manipulation.

Potentiella Konsekvenser

Om dessa sårbarheter utnyttjas framgångsrikt kan det leda till att en angripare tar full kontroll över hela den virtuella infrastrukturen. Med fjärrkodkörning kan skadlig programvara installeras, och med privilegieförhöjning kan kritiska systemfiler och tjänster manipuleras. Detta utgör ett allvarligt hot, särskilt i miljöer där VMware vCenter Server hanterar stora mängder data och virtuella maskiner.

Rekommendationer för Åtgärd

  • Uppdatera omedelbart: Broadcom rekommenderar starkt att administratörer omedelbart uppdaterar till den senaste versionen av VMware vCenter Server. Uppdateringar och patchar är de mest effektiva sätten att åtgärda dessa kritiska sårbarheter.
  • Segmentera Nätverkstillgången: Begränsa åtkomsten till vCenter Server till endast betrodda nätverk eller VPN-anslutningar. Genom att segmentera nätverkstrafiken kan risken för utnyttjande minskas.
  • Övervakning av System: Implementera noggrann övervakning för att snabbt identifiera misstänkt aktivitet som kan indikera försök till intrång eller utnyttjande av sårbarheter.

Varför Detta Är Viktigt

VMware vCenter Server är ett centralt system för hantering av virtuella miljöer, och många företag är beroende av det för sina molntjänster och interna system. En attack som utnyttjar dessa sårbarheter kan få förödande konsekvenser, inklusive driftstopp, dataförlust och potentiella kostnader kopplade till återställning och incidenthantering. Därför är det avgörande att snabbt agera för att minimera riskerna.

Slutsats

De nyligen identifierade sårbarheterna, CVE-2024-38812 och CVE-2024-38813, utgör en betydande säkerhetsrisk för VMware vCenter Server-användare. Att snabbt applicera de senaste uppdateringarna och stärka säkerhetsåtgärderna kring nätverksåtkomst är avgörande för att minimera dessa risker. Organisationer som är beroende av vCenter bör se över sina säkerhetsprotokoll och implementera proaktiva säkerhetslösningar för att skydda sin virtuella infrastruktur.

Posted on

Teknisk preview av memory tiering i VMware vSphere 8.0U3

Med lanseringen av vSphere 8.0 Update 3 (U3) har VMware introducerat en revolutionerande funktion: Minnesnivellering (Memory Tiering). Denna teknik är utformad för att optimera minnesanvändningen genom att utnyttja NVMe-enheter som ett andra lager av minne, utöver traditionellt DRAM. Här är en djupdykning i hur denna funktion fungerar och vad den innebär för ditt datacenter.

Vad är Minnesnivellering?

Minnesnivellering är en metod som introducerar ett andra minneslager, där DRAM fungerar som det första och snabbaste lagret, och NVMe-enheter fungerar som ett större, men något långsammare, andra lager. Genom att använda detta andra lager kan ESXi-värdar hantera större arbetsbelastningar utan att behöva investera i dyrare DRAM-moduler.

Tekniken Bakom

Minnesnivellering utnyttjar NVMe-enheternas höga I/O-prestanda för att agera som en förlängning av systemets minne. När DRAM-minnet börjar ta slut, flyttar hypervisorn automatiskt mindre aktiva data till NVMe-lagret, vilket frigör DRAM för mer kritiska uppgifter. Detta sker dynamiskt och transparent för användaren, vilket ger en sömlös upplevelse.

Fördelar med Minnesnivellering

  1. Kostnadseffektivitet: Genom att minska beroendet av dyrt DRAM kan datacenter minska sina minneskostnader samtidigt som de behåller hög prestanda.
  2. Förbättrad Skalbarhet: Med minnesnivellering kan fler virtuella maskiner köras på samma hårdvara, vilket ökar konsolideringsgraden och effektiviteten i datacentret.
  3. Optimerad Prestanda: Även om NVMe är långsammare än DRAM, är det fortfarande betydligt snabbare än traditionella hårddiskar eller SSD. Detta gör att systemet kan upprätthålla en hög prestandanivå även under tunga arbetsbelastningar.

Användningsfall

Minnesnivellering är särskilt användbart i miljöer där arbetsbelastningarna är mycket varierande och kan kräva stora mängder minne vid vissa tidpunkter, som exempelvis databasservrar, in-memory databaser och AI/ML-beräkningar.

Konfiguration och Administration

Att aktivera och konfigurera minnesnivellering i vSphere 8.0U3 är en relativt enkel process, men det kräver noggrann planering för att säkerställa att rätt NVMe-enheter används och att arbetsbelastningarna hanteras på ett optimalt sätt. Administratörer bör överväga de specifika behoven i sina miljöer innan de implementerar denna funktion.

Slutsats

Minnesnivellering i vSphere 8.0U3 representerar ett stort steg framåt för datacenter som vill maximera sin prestanda utan att explodera sina kostnader. Genom att kombinera DRAM och NVMe i en dynamisk och transparent arkitektur kan VMware leverera en lösning som både är kostnadseffektiv och högpresterande, vilket ger nya möjligheter för modern IT-infrastruktur.

För en djupare förståelse och tekniska detaljer kan du läsa den fullständiga artikeln här.

Posted on

Veeam Backup & Replication 12.1.2 nu supporterat för VMware vSphere 8.0 U3

Veeam Backup & Replication 12.1.2 har genomgått omfattande tester för att säkerställa kompatibilitet med vSphere 8.0 U3. Även om grundläggande funktionalitet är bekräftad, finns det vissa begränsningar att beakta:

Automatiska Exkluderingar av vCLS VMs

Efter uppgradering till vSphere 8.0 U3 fungerar inte den automatiska exkluderingen av vCLS VMs som förväntat. Detta beror på en ändring i VM-identifieraren i den nya vSphere-versionen.

Lösning: För att undvika problem rekommenderas att manuellt lägga till vCLS VMs i den globala exkluderingslistan.

NSX-T 4.2.0 Kompatibilitet

Kompatibilitet med NSX-T 4.2.0 har ännu inte testats. Det rekommenderas att vänta på ytterligare testresultat innan implementering i produktionsmiljöer.

Mer detaljer och instruktioner finns på Veeams supportsida.

Posted on

VMware vSphere 8 Update 3: Initial Availability

Den senaste uppdateringen av VMware vSphere, version 8 Update 3, har nu officiellt nått sin initiala Availability. Denna uppdatering lovar att leverera förbättrad prestanda, säkerhet och hanteringsfunktioner som gör det enklare för organisationer att driva och säkra sina applikationer både i molnet och på plats. Här är en sammanfattning av vad du kan förvänta dig av denna uppdatering.

Förbättrad Prestanda och Effektivitet

vSphere 8 U3 har introducerat flera nya funktioner som syftar till att superladda arbetsbelastningarnas prestanda och förbättra driftseffektiviteten. Några av de mest framstående förbättringarna inkluderar:

  1. Heterogena vGPU-profiler: Administratörer kan nu tilldela olika typer av applikationer till samma fysiska GPU, vilket minskar kostnader och förbättrar GPU-användningen.
  2. Förbättringar i Skyline Health Diagnostics: Integrering med vCenter gör det möjligt för administratörer att enkelt diagnostisera och lösa problem utan att behöva kontakta supporten, vilket sparar tid och ökar tillgängligheten​(VMware Blogs)​​ (VMware Blogs)​.

Säkerhetsförbättringar

Säkerheten i vSphere 8 U3 har också förstärkts med flera nya funktioner:

  1. Okta Federated Identity Management: Utökat stöd för Okta gör att administratörer kan logga in på både vCenter och NSX Manager med en enda autentisering, vilket ökar både effektivitet och säkerhet.
  2. Stöd för Fault Tolerance med vTPM: Säkerställer kontinuerlig tillgänglighet för virtuella maskiner som använder vTPM-moduler, vilket är avgörande för verksamhetskritiska miljöer​ (The Cloud Platform Tech Zone)​​ (VMware Blogs)​.

Nyheter inom Livscykelhantering

Livscykelhantering har också förbättrats i denna uppdatering med snabbare uppdateringar och mindre driftstopp:

  1. Quick Boot med TPM 2.0: Nu kan TPM 2.0 användas utan att behöva inaktiveras för Quick Boot, vilket minskar tiden för uppdateringar och eliminerar säkerhetsluckor under processen​ (VMware Blogs)​.

Slutord

vSphere 8 U3 representerar ett stort steg framåt för VMware med fokus på att förbättra prestanda, säkerhet och driftseffektivitet. Med dessa uppdateringar kan organisationer dra nytta av en stabilare och mer effektiv IT-infrastruktur, vilket stödjer både traditionella och moderna applikationer. För mer detaljerad information och för att ladda ner uppdateringen, besök VMwares officiella blogg och dokumentationssida​ (VMware Blogs)​​ (The Cloud Platform Tech Zone)​​ (VMware Blogs)​.

Posted on

Förstå skillnaden mellan VMware vSphere 8.0 och VMware Cloud Foundation 5.1

När det kommer till virtualiserings- och molnteknologi är VMware en ledande aktör med produkter som VMware vSphere 8.0 och VMware Cloud Foundation 5.1. Trots att båda dessa produkter syftar till att optimera IT-infrastrukturer, tjänar de olika syften och erbjuder unika funktioner. I detta blogginlägg utforskar vi de grundläggande skillnaderna mellan vSphere 8.0 och Cloud Foundation 5.1, med fokus på tekniska, operationella och licensmässiga aspekter.

Tekniska skillnader

VMware vSphere 8.0:

  • Virtualisering: vSphere 8.0 är en plattform som huvudsakligen används för servervirtualisering. Det erbjuder kraftfulla verktyg för att skapa och hantera virtuella maskiner (VM).
  • Hypervisor: Inkluderar den senaste versionen av ESXi-hypervisorn, som erbjuder förbättrad prestanda och säkerhet.
  • Funktioner: Stöd för Kubernetes och avancerade säkerhetsfunktioner med vSphere Trust Authority.
  • Skalbarhet: Passar bäst för organisationer som vill virtualisera sin serverinfrastruktur och som behöver en robust och skalbar lösning för att hantera sina virtuella maskiner.

VMware Cloud Foundation 5.1:

  • Integrerad Plattform: Cloud Foundation är en integrerad hybridmolnplattform som kombinerar vSphere, vSAN, NSX och vRealize Suite.
  • Automatisering: Erbjuder automatiserade livscykelhantering och orkestrering av hela datacenterstacken.
  • Molnberedskap: Designad för att skapa en konsistent infrastruktur och drift över privata och offentliga moln.
  • Funktioner: Full stack HCI (Hyper-Converged Infrastructure), molntjänstintegration, och inbyggt stöd för moderna applikationer med Kubernetes och Tanzu.

Operationella skillnader

VMware vSphere 8.0:

  • Hantering: Kräver ofta manuell hantering och konfiguration, även om vissa automatiseringsverktyg finns tillgängliga.
  • Uppdateringar och Underhåll: Uppdateringar och patchar måste hanteras individuellt för varje komponent (t.ex. ESXi, vCenter).
  • Implementering: Idealisk för företag som söker en stabil och högpresterande virtualiseringsplattform utan att nödvändigtvis behöva full molnintegration.

VMware Cloud Foundation 5.1:

  • Hantering: Erbjuder en centraliserad hantering med SDDC Manager, som förenklar drift och underhåll.
  • Uppdateringar och Underhåll: Automatiserad livscykelhantering gör uppdateringar och patchning enklare och mer pålitlig.
  • Implementering: Perfekt för organisationer som vill skapa en hybridmolnmiljö med sömlös integration mellan olika molnplattformar och som vill utnyttja full stack HCI.

Licensmässiga skillnader

VMware vSphere 8.0:

  • Licensiering: Licenseras per processor. Några olilka licensnivåer finns tillgängliga, beroende på funktioner och supportbehov.
  • Kostnad: Kan vara mer kostnadseffektivt för mindre installationer eller organisationer som endast behöver grundläggande virtualisering.

VMware Cloud Foundation 5.1:

  • Licensiering: Licenseras som en hel plattform, vilket inkluderar alla komponenter (vSphere, vSAN, NSX, vRealize). Detta gör det mer omfattande men också potentiellt dyrare.
  • Kostnad: Inkluderar kostnader för full stack-lösningen och kan innebära en högre initial investering, men erbjuder större värde för organisationer som behöver en integrerad och automatiserad molnplattform.

Sammanfattning

VMware vSphere 8.0 och VMware Cloud Foundation 5.1 är båda kraftfulla verktyg men tjänar olika behov. vSphere 8.0 är idealiskt för traditionell servervirtualisering med hög prestanda och skalbarhet. Cloud Foundation 5.1, å andra sidan, erbjuder en fullständig integrerad lösning för hybridmolnmiljöer, med avancerade automatiserings- och hanteringsfunktioner.

Att välja mellan dessa beror på din organisations specifika krav och framtida strategi. För en stabil och högpresterande virtualiseringsplattform är vSphere 8.0 ett utmärkt val, medan Cloud Foundation 5.1 passar bäst för dem som strävar efter att implementera en helhetslösning för molnintegration och automatisering.

För mer detaljer och vägledning, besök VMwares officiella webbplats.