Den snabba utvecklingen inom AI – särskilt generativ AI – förändrar fundamentalt hur organisationer designar sin IT-infrastruktur. Traditionella, silo-baserade datacenter klarar inte längre kraven på skalbarhet, automation, säkerhet och kostnadskontroll. Samtidigt har många organisationer upptäckt att publika moln inte alltid levererar förutsägbar ekonomi eller tillräcklig kontroll.
VMware Cloud Foundation (VCF) 9.1 är ett svar på denna utveckling: en enhetlig privat molnplattform designad för att köra produktionskritiska AI-, container- och VM-arbetslaster med hög prestanda, säkerhet och kostnadseffektivitet.
Från traditionell infrastruktur till modern private cloud
Moderna verksamheter kräver:
Självbetjäning (self-service) för utvecklingsteam
Full automation och orkestrering
Stöd för både traditionella och containerbaserade workloads
Konsistent drift över datacenter, edge och moln
Traditionell infrastruktur är ofta rigid och silo-baserad, vilket gör den ineffektiv och svår att skala.
Publika moln löser vissa problem – men introducerar andra:
Oförutsägbara kostnader (t.ex. egress och tjänsteavgifter)
Delad infrastruktur → säkerhets- och compliance-risker
Begränsad kontroll över data och arbetslaster
Private cloud framstår därför som ett alternativ som kombinerar flexibilitet med kontroll och säkerhet.
Vad är VMware Cloud Foundation 9.1?
VCF 9.1 är en fullstack, integrerad private cloud-plattform som kombinerar:
Compute (vSphere / ESX)
Storage (vSAN)
Nätverk (NSX)
Kubernetes (vSphere Kubernetes Service / Tanzu)
Management och automation
Säkerhet och cyberresiliens
Detta skapar en enhetlig plattform som:
Kör alla typer av workloads (VM, containers, AI/ML)
Levererar en konsistent upplevelse över alla miljöer
Sänker total cost of ownership (TCO)
Nyheter i VCF 9.1 – tekniska förbättringar
1. Effektiv infrastruktur och drift i stor skala
VCF 9.1 fokuserar kraftigt på att förbättra resursutnyttjande och skala effektivt:
NVMe Memory Tiering (upp till 40% lägre TCO)
Mjukvarubaserad spegling (ingen RAID-beroende)
Reboot-fri aktivering
Automatiska rekommendationer via VCF Operations
Resultat: → Betydligt lägre serverkostnader och bättre prestanda
Avancerad deduplicering och komprimering
Global deduplicering
Next-gen komprimering
Resultat: → Upp till ~39% lägre lagringskostnader jämfört med traditionella lösningar
Topology-aware scheduling
NUMA-medveten workload-placering
Optimerad CPU-användning
Resultat: → Bättre prestanda för AI- och high-core workloads
2. Skalning och automation
VCF 9.1 introducerar flera förbättringar för storskaliga miljöer:
Upp till 500 Kubernetes-kluster per Supervisor (2.6× ökning)
Det pratas ibland om “BRICKSTORM-sårbarheten”, men det är viktigt att reda ut begreppen: BRICKSTORM är i första hand en bakdörr/malware-familj som används för långvarig, smygande åtkomst – inte en enskild CVE i sig. Den har observerats i intrång där angripare tar sig in (ofta med stulna legitimationer eller via andra sårbarheter), och sedan installerar BRICKSTORM på VMware vSphere-miljöer, särskilt vCenter och ESXi, eftersom de ger kontroll över hela den virtualiserade infrastrukturen.
Nedan får du en praktisk och defensivt fokuserad genomgång: hur BRICKSTORM relaterar till vCenter/ESXi, varför den är farlig, samt konkreta skydds- och detektionsåtgärder.
Varför vCenter och ESXi är så attraktiva mål
I många organisationer är vCenter “kontrollplanet”: där finns åtkomst till att skapa/ändra VM:ar, snapshotta, klona, hantera nätverk och lagring, och ofta även integreringar mot identitet (AD/SSO).
När en angripare får fotfäste på vCenter/ESXi kan de i praktiken:
Skapa eller dölja “rogue” VM:ar för att köra verktyg, pivotera eller exfiltrera data.
Stjäla snapshots/kloner av VM:ar och sedan extrahera credentials offline (en extremt effektiv credential access-väg).
Tunnla trafik (t.ex. via SOCKS-proxy-funktion) så att kommandokontroll och lateral rörelse ser “normal” ut från insidan.
Utnyttja privilegierade konton/komponenter i vSphere (t.ex. vCenter-konton, vpxuser i vissa scenarier) för att röra sig sidledes.
Poängen: om angriparen kontrollerar vCenter kontrollerar de ofta allt som körs på ESXi.
Vad BRICKSTORM är och vad den gör
Enligt den gemensamma analysen (CISA/NSA/Canadian Centre for Cyber Security) är BRICKSTORM en sofistikerad bakdörr som setts mot VMware vSphere (vCenter och ESXi) samt Windows. Den används för långvarig persistence och kommer med indikatorer och detektionssignaturer (bl.a. YARA och Sigma).
Kända/rapporterade egenskaper i kampanjerna inkluderar bland annat:
Lång “dwell time” (angriparen ligger kvar länge innan upptäckt).
Krypterade C2-kanaler (t.ex. HTTPS/WebSockets/TLS/DoH i rapporterad aktivitet) och ibland proxyfunktion för pivotering.
Masquerading (binärer med legitima namn/utseende) och persistence via uppstartsskript/paths.
Typisk angreppsbild kopplad till vCenter/ESXi
Även om intrång kan börja på olika sätt, återkommer ofta ett mönster:
Initial access: internetexponerade edge-enheter, stulna credentials (t.ex. MSP-konton), eller exploaterade sårbarheter som ger fotfäste.
Pivot till vCenter: angriparen tar sig till management-nät/administrationsplan.
Installation av BRICKSTORM på vCenter (och ibland vidare mot ESXi/VM:ar), för stabil och dold åtkomst.
Missbruk av vCenter-funktioner: snapshots, kloner, “rogue” VM:ar, credential harvesting och vidare lateral movement.
I ett rapporterat incidentexempel hade angripare åtkomst från april 2024 och använde BRICKSTORM för persistence åtminstone fram till 3 september 2025 efter att ha laddat upp den till en intern vCenter-server.
Skydd: så minskar du risken att bli nästa vCenter/ESXi-offer
Här är en defensiv checklista med hög “bang for the buck”.
1) Separera och lås ner management-planet
Isolera vCenter/ESXi management i ett separat nät (ingen direkt access från klientnät/DMZ).
Tillåt administration endast via jump hosts/bastion med hårda kontroller.
Blockera utgående trafik från vCenter/ESXi så långt det går (default deny, tillåt bara det som behövs).
Varför: BRICKSTORM-kampanjer utnyttjar ofta att kontrollplanet är “för nära” resten av miljön och att verktyg/EDR inte alltid täcker appliances.
2) Stärk identitet och åtkomst
MFA överallt för administrativ access (SSO/IdP, VPN, bastion, vCenter).
Minimera och granska privilegier: separata admin-konton, “just enough admin”.
Rotera och skydda servicekonton (särskilt om du är MSP eller har många tenants).
Larma på nya API-tokens, nya administratörer, och ovanliga inloggningar.
3) Patcha och hårdna vSphere-komponenterna
Håll vCenter och ESXi strikt uppdaterade (även om BRICKSTORM inte är “en CVE”, utnyttjas den ofta efter att angriparen fått access via svaga länkar).
Stäng av onödiga tjänster (t.ex. begränsa/disable SSH när det inte behövs).
Aktivera och använd Lockdown Mode där det är möjligt, och strama åt brandväggsregler på ESXi.
Följ VMware hardening guides (och håll konfigurationsavvikelser under kontroll).
4) Säkerhetskopiera och gör recovery realistiskt
Ha offline/immutabla backuper av kritiska system (inkl. vCenter-konfig, viktiga VM:ar).
Öva återställning: om vCenter komprometteras kan du behöva återbygga snarare än “städa”.
Detektion: så upptäcker du BRICKSTORM och liknande aktivitet
Eftersom traditionell endpoint-telemetri ofta är begränsad på appliances behöver du kombinera loggar, nätverksdetektion och vSphere-specifik övervakning.
1) Använd officiella IOCs + YARA/Sigma
Den gemensamma rapporten innehåller indikatorer och detektionssignaturer (YARA & Sigma) och uppdaterades senast 19 december 2025. Börja där och implementera matchning i din SIEM/EDR/NDR/hunting-pipeline.
Praktiskt tips:
Kör YARA där du kan (forensiska image-sökningar, EDR på Linux/Windows där relevant).
Kör Sigma-regler i SIEM (översätt vid behov till din plattformsformat).
2) Övervaka vCenter för “administrativt missbruk”
Larma/hunta på:
Ovanliga snapshot- och kloningsmönster (tidpunkt, frekvens, mål-VM:ar).
Skapande av nya VM:ar som snabbt skapas/avregistreras/stängs ner (kan vara “rogue”/dolda).
Nya/oväntade konton, rolländringar och behörighetseskaleringar.
Aktivitet från oväntade IP-adresser mot vCenter API/UI.
3) Nätverksdetektion: leta efter “osannolika” utgående mönster
BRICKSTORM-aktivitet har rapporterats använda krypterade protokoll och ibland proxyfunktioner, vilket gör att klassisk signaturbaserad detektion kan vara svår.
Larma på:
vCenter/ESXi som plötsligt gör nya utgående TLS/HTTPS-förbindelser till okända destinationsnät.
DNS-over-HTTPS-liknande beteenden från system som normalt inte behöver det.
Tecken på tunnling/proxy (t.ex. många interna destinationsförsök som “kommer från” vCenter/ESXi).
4) Host-baserad jakt på vCenter/ESXi (när du kan)
På vCenter Server Appliance (VCSA) är det extra värdefullt att:
Samla in och centralt lagra loggar (syslog) från vCenter/ESXi.
Larma på förändringar i uppstart/persistence-mekanismer (init-/startup-skript, ovanliga binärer, PATH-manipulation, tjänster som inte borde finnas).
Obs: Exakta filnamn/artefakter varierar mellan varianter och kan vara anpassade per offer, så basera inte allt på en enda IOC. Kombinera TTP-baserad jakt + officiella signaturer.
Om du misstänker intrång: snabb IR-checklista (vCenter/ESXi)
Isolera management-nätet (kontrollerat): stoppa utgående trafik från vCenter/ESXi där möjligt.
Säkra bevis: ta forensiska snapshots/exports av relevanta loggar och system (innan “städning”).
Jämför mot rapportens IOCs + regler (YARA/Sigma).
Rotera credentials: särskilt vCenter admin, SSO/IdP, servicekonton, och alla konton som kan nå management-planet.
Granska vSphere-händelser: snapshots, kloner, nya VM:ar, rolländringar.
Planera för återuppbyggnad: i vissa fall är säkraste vägen att återställa/återinstallera vCenter från “known good” och återansluta hostar kontrollerat.
Sammanfattning
BRICKSTORM är farlig av en enkel anledning: den siktar på din kontrollyta, inte dina vanliga endpoints. När vCenter/ESXi komprometteras kan angriparen:
extrahera credentials via snapshots,
skapa/dölja VM:ar,
och använda plattformen som språngbräda för långvarig åtkomst.
Skyddet handlar därför om att låsa ner management-planet, stärka identitet, segmentera, begränsa utgående trafik och bygga detektion som faktiskt täcker vSphere – plus att implementera de IOCs och YARA/Sigma-regler som publicerats i den gemensamma analysen.
Finns det något verktyg för detektering av BRICKSTORM?
Utöver klassisk logg- och nätverksövervakning finns det nu specialiserade verktyg framtagna specifikt för att upptäcka spår av BRICKSTORM i VMware-miljöer. Ett av de mest användbara är brickstorm-scanner, ett öppet verktyg publicerat av Mandiant.
brickstorm-scanner är ett forensiskt detektionsverktyg som är designat för att identifiera indikatorer på BRICKSTORM-kompromettering, med särskilt fokus på:
vCenter Server Appliance (VCSA)
ESXi-hostar
Linux-system som kan ha använts i attackkedjan
Verktyget är utvecklat baserat på Mandiants incidentresponsarbete och publika hotunderrättelser kring BRICKSTORM.
Vad letar verktyget efter?
brickstorm-scanner söker efter flera typer av artefakter som är typiska för BRICKSTORM-operationer, bland annat:
Kända filhashar och binärer
Ovanliga eller modifierade start-/persistence-mekanismer
Misstänkta processer och tjänster
Avvikelser i filsystemet som tyder på masquerading
Spår av bakdörrsinstallation på vCenter/VCSA
Viktigt: verktyget är byggt för detektion och triage, inte för borttagning. Ett positivt fynd ska alltid följas av en fullständig incidenthantering.
Hur och när bör verktyget användas?
brickstorm-scanner passar särskilt bra i följande scenarier:
Threat hunting i vSphere-miljöer
Efter misstänkt intrång (t.ex. ovanliga vCenter-händelser, snapshots, eller nätverkstrafik)
Proaktiv kontroll av högvärdessystem som vCenter
Rekommenderad praxis:
Kör verktyget offline eller i ett kontrollerat IR-läge
Samla och spara resultat som forensiskt bevismaterial
Korrelatera fynd med:
vCenter-/ESXi-loggar
SIEM-larm
Nätverksdata
Officiella IOCs och YARA/Sigma-regler
Begränsningar att känna till
Som med alla IOC-baserade verktyg gäller:
Ett negativt resultat betyder inte att miljön är ren
BRICKSTORM-aktörer är kända för att:
Anpassa filnamn och paths
Kompilera unika varianter per offer
Verktyget bör därför användas som en del av en större detektionsstrategi, inte som enda skydd
Rekommenderad kombination
För bästa effekt bör brickstorm-scanner användas tillsammans med:
Centraliserad logginsamling från vCenter & ESXi
Nätverksövervakning (NDR) för utgående trafik från management-planet
Regelbunden granskning av snapshots, kloner och VM-skapande
Stark identitetssäkerhet (MFA, begränsade API-tokens, bastion access)
Officiella resurser från VMware (BRICKSTORM-guidelines)
För att hjälpa organisationer att skydda sina VMware-miljöer mot avancerade hot som BRICKSTORM har VMware publicerat en samling guider och resurser inom sitt Security & Compliance Guidelines-repo på GitHub.
Även om GitHub-sidan i sig inte är en fullständig “instruktionsmanual”, fungerar den som en samling av riktlinjer, verktyg och konfigurationsguider som du kan använda för att:
Förbättra din säkerhetskonfiguration
I hela vcf-security-and-compliance-guidelines-projektet finns exempel på:
Hardening-riktlinjer för VMware-komponenter (som vCenter och ESXi) för att minska ytan för angrepp.
Checklistor och policyer som hjälper dig att säkra både VMware Cloud Foundation och vSphere.
Ransomware-resurser kategoriserade utifrån olika hot, inklusive BRICKSTORM, som ger en defensiv ram att arbeta utifrån.
Exempel på vad du får hjälp med
Guidelines-projektet är inte bara en kodbas – det innehåller:
Security Configuration Hardening Guide: detaljerade rekommendationer för hur du sätter säkerhetsinställningar rätt i VMware-produkter.
Ransomware-resurser: samlade dokument och best practices för att förbereda, upptäcka och återhämta dig från intrång som involverar ransomware-liknande bakdörrar såsom BRICKSTORM.
Exempelskript, politiska kontroller och rådatat: som kan implementeras i verktyg och automationer i din miljö.
Hur dessa riktlinjer hjälper mot BRICKSTORM
Den BRICKSTORM-specifika delen av VMware-guiden är tänkt att komplettera andra detektions- och skyddsåtgärder – som de vi redan nämnt (t.ex. brickstorm-scanner). Den används bäst i kombination med:
Standard hardening-guider för vSphere/vCenter, som minskar attackytan generellt.
Policy-drivna kontroller och larm i din SIEM/övervakningslösning.
Automatiserade compliance-kontroller, vilket gör det lättare att se avvikelser från “known good”-konfigurationer.
Eftersom VMware-guiden underhålls tillsammans med andra säkerhetsresurser innebär det att du får kontinuerligt uppdaterade best practices som hjälper dig att:
* implementera least privilege och hård autentisering * konfigurera loggning och audit trails * upptäcka avvikelser i konfigurationer * förbereda återställningspunkter och resilient design
Att använda dessa riktlinjer är ett sätt att proaktivt minska risken för BRICKSTORM-komprometteringar istället för att enbart reagera efter att ett intrång inträffat.
När du kör virtuella maskiner med vSphere delar flera VM:ar på samma underliggande fysiska resurser — CPU, minne, I/O, nätverk och lagring. Om inte dessa resurser är korrekt konfigurerade och balanserade kan det leda till flaskhalsar, låg responstid, eller att vissa VM:ar påverkar andra negativt. Därför är det viktigt att följa vissa best practices för att få ut maximal prestanda, stabilitet och effektiv resursanvändning.
Därför publicerar VMware riktlinjer för hur hårdvara, ESXi-konfiguration, virtuell maskin-konfiguration, lagring, nätverk och infrastrukturhantering bör utformas.
Rekommendationer för hårdvara
CPU & virtualisering
Välj CPU:er som stöder hårdvaruassisterad virtualisering — t.ex. Intel VT-x / AMD-V, och för minneshantering Intel EPT eller AMD RVI.
Kontrollera att hårdvaran finns med på vSphere: s officiella kompatibilitetslista.
Undersök minnet noga — exempelvis genom att köra test under 72 timmar för att upptäcka eventuella minnesfel innan produktion.
Minnes- och lagringskonfiguration
Om du använder minnestiering (memory tiering) — en ny möjlighet i vSphere 9.0 — bör du välja NVMe-enheter med hög uthållighet och minst 100 000 skrivningar per sekund (per enhet) för att hantera belastning bra.
För lagringsenheter: använd snabba back-end-lösningar med rätt RAID, cache och ”stripe size” beroende på arbetsbelastning.
För flash / SSD / NVMe: överväg PCIe-anslutna NVMe-kort — de ger oftast bäst prestanda.
Nätverk & I/O-kort
När du använder snabb lagring — t.ex. NVMe eller flash för swap / cache — är det viktigt att nätverk och I/O-kort (t.ex. PCIe-kort) placeras i platser med tillräcklig bandbredd (tillräckligt många ”lanes”).
Virtuell maskin & ESXi — inställningar som påverkar prestanda
När hårdvaran är på plats är följande inställningar viktiga:
Undvik överdriven minnes-overcommit: överutnyttja inte värdens minne på bekostnad av prestanda.
Använd “Large Memory Pages” (t.ex. 2 MB sidor) där det är möjligt — det kan minska overhead och förbättra minnesprestanda.
För arbetsbelastningar som är känsliga för latens — t.ex. databaser — se till att lagring, I/O-vägar och nätverk är korrekt konfigurerade för låg latens.
Vid användning av funktioner som direkt I/O-åtkomst (t.ex. SR-IOV, DirectPath I/O) — konfigurera korrekt för att undvika prestandaförsämringar.
Infrastruktur- och management-nivå: vCenter & hantering
Prestanda påverkas inte bara av hårdvara och VM-konfiguration — även hur infrastrukturen hanteras spelar stor roll:
Om du använder vCenter Server: tänk igenom databas- och lagringskonfiguration för vCenter, särskilt med avseende på nätverk och I/O.
Använd resurshantering — t.ex. kluster med VMware Distributed Resource Scheduler (DRS), VMware vMotion / Storage vMotion och VMware vSAN (om relevant) — men dimensionera och konfigurera dessa med omsorg för att undvika prestandaproblem.
För vSAN: välj mellan ”all-flash” eller hybrid beroende på krav — och planera nätverk, lagring och layout noggrant.
Hur du kommer igång — praktiska tips
Inventera din hårdvara – kontrollera att CPU, minne, lagrings- och nätverkskort är kompatibla med vSphere 9.0. Kör minnestest om möjligt.
Planera din lagrings- och I/O-struktur – välj lagringsenheter med tillräcklig prestanda, undvik översubskription av I/O, konfigurera korrekt PCIe-bandbredd.
Tänk på hakearbeten och latens-känsliga arbetsbelastningar – använd Large Pages, dedikerade resurser, och överväg direkt I/O/SR-IOV om det behövs.
Konfigurera resurshantering och kluster med omsorg, t.ex. DRS, vMotion, vSAN, sambandet mellan resurser och verkliga arbetsbelastningar.
Övervaka prestanda kontinuerligt — missa inte att gå igenom vCenter-loggar, övervaka I/O, CPU, minne och svarstider på VM:ar.
Slutsats
Att driftsätta en virtuell miljö med vSphere 9.0 är mer än bara att installera ESXi och vCenter — det kräver noggrann planering av hårdvara, lagring, nätverk och konfigurationer för att verkligen få ut god prestanda. Genom att följa best practices från dokumentet kan du skapa en stabil, effektiv och högpresterande virtualiseringsmiljö.
Broadcom har släppt en viktig säkerhetsuppdatering, VMSA-2025-0015, som adresserar flera sårbarheter i VMware Aria Operations och VMware Tools. Dessa sårbarheter, identifierade som CVE-2025-41244, CVE-2025-41245 och CVE-2025-41246, har en allvarlighetsgrad i intervallet 4.9–7.8 enligt CVSSv3 och klassas som viktiga. Här är en översikt av sårbarheterna, deras påverkan och hur de kan åtgärdas.
Påverkade produkter
De berörda produkterna inkluderar:
VMware Aria Operations
VMware Tools
VMware Cloud Foundation
VMware Telco Cloud Platform
VMware Telco Cloud Infrastructure
Sårbarheter och deras påverkan
1. Lokal privilegieeskalering (CVE-2025-41244)
Beskrivning: VMware Aria Operations och VMware Tools har en sårbarhet för lokal privilegieeskalering. En skadlig lokal aktör med icke-administrativa behörigheter som har tillgång till en virtuell maskin (VM) med VMware Tools installerat och hanterat av Aria Operations med SDMP aktiverat kan utnyttja denna sårbarhet för att eskalera privilegier till root på samma VM. Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.8. Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns tillgängliga. Erkännande: Tack till Maxime Thiebaut (NVISO) för rapporteringen av denna sårbarhet. Noter: VMware Tools 12.4.9 (del av 12.5.4) åtgärdar även problemet för Windows 32-bit. En version av open-vm-tools som åtgärdar CVE-2025-41244 kommer att distribueras av Linux-leverantörer.
2. Informationsläcka i VMware Aria Operations (CVE-2025-41245)
Beskrivning: VMware Aria Operations har en sårbarhet för informationsläcka. En skadlig aktör med icke-administrativa behörigheter i Aria Operations kan utnyttja denna sårbarhet för att avslöja inloggningsuppgifter för andra användare i Aria Operations. Allvarlighetsgrad: Måttlig, CVSSv3-poäng 4.9. Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns. Erkännande: Tack till Sven Nobis och Lorin Lehawany från ERNW Enno Rey Netzwerke GmbH för rapporteringen.
Svarsmatris för CVE-2025-41244 och CVE-2025-41245:
Produkt
Komponent
Version
Plattform
CVE
CVSSv3
Allvarlighetsgrad
Fast Version
Tillfällig lösning
Ytterligare dokument
VMware Cloud Foundation, VMware vSphere Foundation
VMware Cloud Foundation Operations
9.x.x.x
Alla
CVE-2025-41244
7.8
Viktig
9.0.1.0
Ingen
Ingen
VMware Cloud Foundation, VMware vSphere Foundation
VMware Tools
13.x.x.x [2]
Windows, Linux
CVE-2025-41244
7.8
Viktig
13.0.5.0
Ingen
Ingen
VMware Aria Operations
VMware Aria Operations
8.x
Alla
CVE-2025-41244, CVE-2025-41245
7.8, 4.9
Viktig
8.18.5
Ingen
Ingen
VMware Tools
N/A
13.x.x
Windows, Linux
CVE-2025-41244
7.8
Viktig
13.0.5
Ingen
Ingen
VMware Tools
N/A
12.x.x, 11.x.x
Windows, Linux
CVE-2025-41244
7.8
Viktig
12.5.4
Ingen
Ingen
VMware Cloud Foundation
VMware Aria Operations
5.x, 4.x
Alla
CVE-2025-41244, CVE-2025-41245
7.8, 4.9
Viktig
KB92148
Ingen
Ingen
VMware Telco Cloud Platform
VMware Aria Operations
5.x, 4.x
Alla
CVE-2025-41244, CVE-2025-41245
7.8, 4.9
Viktig
8.18.5
Ingen
Ingen
VMware Telco Cloud Infrastructure
VMware Aria Operations
3.x, 2.x
Alla
CVE-2025-41244, CVE-2025-41245
7.8, 4.9
Viktig
8.18.5
Ingen
Ingen
3. Felaktig auktorisering i VMware Tools (CVE-2025-41246)
Beskrivning: VMware Tools för Windows har en sårbarhet för felaktig auktorisering på grund av hur användaråtkomstkontroller hanteras. En skadlig aktör med icke-administrativa behörigheter på en gäst-VM, som redan är autentiserad via vCenter eller ESX, kan utnyttja denna sårbarhet för att få åtkomst till andra gäst-VM:er. Framgångsrik exploatering kräver kunskap om inloggningsuppgifter för målen och vCenter eller ESX. Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.6. Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns. Erkännande: Tack till säkerhetsforskaren Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) från Statnett (Norge) för rapporteringen. Noter: VMware Tools 12.4.9 (del av 12.5.4) åtgärdar även problemet för Windows 32-bit. Denna sårbarhet påverkar endast VMware Tools för Windows.
Svarsmatris för CVE-2025-41246:
Produkt
Komponent
Version
Plattform
CVE
CVSSv3
Allvarlighetsgrad
Fast Version
Tillfällig lösning
Ytterligare dokument
VMware Cloud Foundation, VMware vSphere Foundation
VMware Tools
13.x.x.x [2]
Windows
CVE-2025-41246
7.6
Viktig
13.0.5.0
Ingen
Ingen
VMware Tools [2]
N/A
13.x.x
Windows
CVE-2025-41246
7.6
Viktig
13.0.5
Ingen
Ingen
VMware Tools [2]
N/A
12.x.x, 11.x.x
Windows
CVE-2025-41246
7.6
Viktig
12.5.4
Ingen
Ingen
VMware Tools
N/A
12.x.x, 11.x.x
Linux
CVE-2025-41246
N/A
N/A
Opåverkad
N/A
N/A
VMware Tools
N/A
12.x.x, 11.x.x
macOS
CVE-2025-41246
N/A
N/A
Opåverkad
N/A
N/A
Rekommendationer
Broadcom uppmanar alla användare av de berörda produkterna att omedelbart applicera de tillgängliga patcharna för att skydda sina system. Det finns inga tillfälliga lösningar för dessa sårbarheter, så uppdatering till de angivna versionerna är avgörande.
Referenser och ytterligare resurser
VMware Aria Operations och VMware Tools-dokumentation: Se avsnitt 4 i originalrådgivningen för nedladdningslänkar och dokumentation.
Dessa sårbarheter understryker vikten av att hålla dina VMware-produkter uppdaterade. Genom att snabbt applicera de rekommenderade patcharna kan du skydda dina system från potentiella attacker.
Broadcom har släppt en viktig säkerhetsuppdatering, VMSA-2025-0016, som adresserar flera sårbarheter i VMware vCenter och NSX. Dessa sårbarheter, identifierade som CVE-2025-41250, CVE-2025-41251 och CVE-2025-41252, har en allvarlighetsgrad i intervallet 7.5–8.5 enligt CVSSv3 och klassas som viktiga. Här är en översikt av sårbarheterna, deras påverkan och hur de kan åtgärdas.
Påverkade produkter
De berörda produkterna inkluderar:
VMware vCenter Server
VMware NSX
NSX-T
VMware Cloud Foundation
VMware Telco Cloud Platform
VMware Telco Cloud Infrastructure
Sårbarheter och deras påverkan
1. SMTP-headerinjektion i vCenter (CVE-2025-41250)
Beskrivning: VMware vCenter har en sårbarhet för SMTP-headerinjektion. En angripare med icke-administrativa behörigheter, men med rättigheter att skapa schemalagda uppgifter, kan manipulera notifikationsmejl som skickas för dessa uppgifter. Allvarlighetsgrad: Viktig, CVSSv3-poäng 8.5. Åtgärd: Uppdatera till de versioner som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns tillgängliga. Erkännande: Tack till Per von Zweigbergk för rapporteringen av denna sårbarhet.
Svarsmatris för CVE-2025-41250:
Produkt
Komponent
Version
Fast Version
Dokumentation
VMware Cloud Foundation, VMware vSphere Foundation
2. Svag lösenordsåterställningsmekanism i NSX (CVE-2025-41251)
Beskrivning: VMware NSX har en sårbarhet i sin lösenordsåterställningsmekanism som kan utnyttjas av en oautentiserad angripare för att lista giltiga användarnamn, vilket potentiellt kan leda till brute-force-attacker. Allvarlighetsgrad: Viktig, CVSSv3-poäng 8.1. Åtgärd: Applicera uppdateringarna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns. Erkännande: Tack till National Security Agency för rapporteringen.
3. Användarnamnsuppräkning i NSX (CVE-2025-41252)
Beskrivning: VMware NSX har en sårbarhet för användarnamnsuppräkning som gör det möjligt för en oautentiserad angripare att identifiera giltiga användarnamn, vilket kan underlätta obehöriga åtkomstförsök. Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.5. Åtgärd: Applicera uppdateringarna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns. Erkännande: Tack till National Security Agency för rapporteringen.
Svarsmatris för CVE-2025-41251 och CVE-2025-41252:
Produkt
Komponent
Version
Fast Version
Dokumentation
VMware Cloud Foundation, VMware vSphere Foundation
Broadcom uppmanar alla användare av de berörda produkterna att omedelbart applicera de tillgängliga uppdateringarna för att skydda sina system. Det finns inga tillfälliga lösningar för dessa sårbarheter, så uppdatering till de angivna versionerna är avgörande.
Referenser och ytterligare resurser
VMware vCenter och NSX-dokumentation: Se avsnitt 4 i originalrådgivningen för nedladdningslänkar och dokumentation.
Dessa sårbarheter understryker vikten av att hålla dina VMware-produkter uppdaterade. Genom att snabbt applicera de rekommenderade uppdateringarna kan du skydda dina system från potentiella attacker.
Broadcom har nyligen släppt en säkerhetsrådgivning (VMSA-2025-0012) som adresserar flera sårbarheter i VMware NSX, inklusive lagrade Cross-Site Scripting (XSS)-sårbarheter. Dessa sårbarheter påverkar även relaterade produkter som VMware Cloud Foundation och VMware Telco Cloud Platform.
Sammanfattning av sårbarheterna
Tre separata XSS-sårbarheter har identifierats i olika komponenter av VMware NSX:
CVE-2025-22243 – En lagrad XSS-sårbarhet i NSX Manager UI på grund av bristfällig inmatningsvalidering. En angripare med behörighet att skapa eller modifiera nätverksinställningar kan injicera skadlig kod som exekveras när nätverksinställningarna visas. Denna sårbarhet har en CVSSv3-baspoäng på 7.5 och klassificeras som viktig.
CVE-2025-22244 – En lagrad XSS-sårbarhet i gateway-brandväggen på grund av bristfällig inmatningsvalidering. En angripare med åtkomst att skapa eller modifiera svarssidor för URL-filtrering kan injicera skadlig kod som exekveras när en annan användare försöker komma åt den filtrerade webbplatsen. Denna sårbarhet har en CVSSv3-baspoäng på 6.9 och klassificeras som måttlig.
CVE-2025-22245 – En lagrad XSS-sårbarhet i routerporten på grund av bristfällig inmatningsvalidering. En angripare med behörighet att skapa eller modifiera routerportar kan injicera skadlig kod som exekveras när en annan användare försöker komma åt routerporten. Denna sårbarhet har en CVSSv3-baspoäng på 5.9 och klassificeras som måttlig.
Påverkade produkter och åtgärder
Följande produkter påverkas av dessa sårbarheter
VMware NSX versioner 4.0.x till 4.2.x
VMware Cloud Foundation versioner 5.0.x till 5.2.x
VMware Telco Cloud Platform versioner 3.x till 5.x
För att åtgärda dessa sårbarheter rekommenderas det att uppdatera till följande versioner:
VMware NSX 4.2.2.1
VMware NSX 4.2.1.4
VMware NSX 4.1.2.6
För VMware Cloud Foundation och VMware Telco Cloud Platform, tillämpa asynkrona patchar enligt instruktionerna i KB-artiklarna KB88287 och KB396986.
Det finns inga kända lösningar eller tillfälliga åtgärder för dessa sårbarheter, vilket gör det avgörande att tillämpa de tillgängliga uppdateringarna så snart som möjligt.
Rekommendationer
Granska och uppdatera till de angivna versionerna för att säkerställa att systemen är skyddade mot dessa sårbarheter.
Implementera säker kodgranskning och inmatningsvalidering för att förhindra liknande sårbarheter i framtiden.
Övervaka systemloggar för ovanlig aktivitet som kan indikera försök till utnyttjande av dessa sårbarheter.
För mer detaljerad information och nedladdning av uppdateringar, besök Broadcoms officiella säkerhetsrådgivning: .
Genom att vidta dessa åtgärder kan organisationer stärka sin säkerhetsställning och skydda sina nätverksinfrastrukturer mot potentiella hot.
Den 30 januari 2025 publicerade VMware en säkerhetsrådgivning (VMSA-2025-0003) som adresserar flera sårbarheter i produkterna VMware Aria Operations for Logs och VMware Aria Operations. Dessa sårbarheter, identifierade som CVE-2025-22218, CVE-2025-22219, CVE-2025-22220, CVE-2025-22221 och CVE-2025-22222, har bedömts ha en hög allvarlighetsgrad med CVSSv3-poäng mellan 5,2 och 8,5.
Påverkade produkter:
VMware Aria Operations for Logs
VMware Aria Operations
VMware Cloud Foundation
Detaljer om sårbarheterna:
CVE-2025-22218: Informationsläckage i VMware Aria Operations for Logs. En angripare med “View Only Admin”-behörighet kan potentiellt läsa inloggningsuppgifter för en VMware-produkt integrerad med Aria Operations for Logs.
CVE-2025-22219: Lagrad cross-site scripting (XSS) i VMware Aria Operations for Logs. En användare utan administratörsbehörighet kan injicera skadlig kod som kan leda till att godtyckliga operationer utförs med administratörsbehörighet.
CVE-2025-22220: Bristande åtkomstkontroll i VMware Aria Operations for Logs. En användare utan administratörsbehörighet med nätverksåtkomst till Aria Operations for Logs API kan utföra vissa operationer med administratörsbehörighet.
CVE-2025-22221: Lagrad cross-site scripting (XSS) i VMware Aria Operations for Logs. En administratör kan injicera skadlig kod som kan exekveras i en användares webbläsare vid borttagning av agentkonfiguration.
CVE-2025-22222: Informationsläckage i VMware Aria Operations. En användare utan administratörsbehörighet kan utnyttja denna sårbarhet för att hämta inloggningsuppgifter för ett utgående plugin om ett giltigt tjänste-ID är känt.
Rekommenderade åtgärder:
VMware har släppt patchar för att åtgärda dessa sårbarheter. Det rekommenderas starkt att administratörer uppdaterar till de senaste versionerna enligt följande:
VMware Aria Operations for Logs: Uppdatera till version 8.18.3.
VMware Aria Operations: Uppdatera till version 8.18.3.
VMware Cloud Foundation: Följ instruktionerna i kunskapsbasartikel KB92148.
För mer detaljerad information och nedladdningslänkar, besök den officiella säkerhetsrådgivningen:
Det är viktigt att organisationer som använder dessa produkter omedelbart implementerar de tillgängliga uppdateringarna för att skydda sina system mot potentiella hot.
Den 26 november 2024 publicerade Broadcom en säkerhetsrådgivning som adresserar flera sårbarheter i VMware Aria Operations, tidigare känt som vRealize Operations. Dessa sårbarheter, identifierade som CVE-2024-38830 till CVE-2024-38834, har varierande allvarlighetsgrad och kan potentiellt påverka systemets säkerhet och integritet.
Detaljer om sårbarheterna:
CVE-2024-38830: En lokal privilegieeskaleringssårbarhet som kan utnyttjas av en användare med administrativa rättigheter för att få root-åtkomst på systemet.
CVE-2024-38831: Liknande den föregående, denna sårbarhet tillåter en angripare med lokala administrativa rättigheter att infoga skadlig kod i systemets konfigurationsfiler för att uppnå root-privilegier.
CVE-2024-38832: En lagrad cross-site scripting (XSS) sårbarhet där en användare med redigeringsrättigheter kan injicera skadlig skriptkod i vyer, vilket kan påverka andra användare.
CVE-2024-38833: En annan lagrad XSS-sårbarhet som möjliggör för en användare med redigeringsåtkomst till e-postmallar att infoga skadlig skriptkod.
CVE-2024-38834: En lagrad XSS-sårbarhet där en användare med redigeringsrättigheter till molnleverantörer kan injicera skadlig skriptkod.
Rekommenderade åtgärder:
För att skydda ditt system mot dessa sårbarheter rekommenderas det starkt att du uppdaterar till de senaste versionerna av VMware Aria Operations. De specifika versionerna som adresserar dessa problem finns listade i Broadcoms officiella säkerhetsrådgivning.
För detaljerad information om varje sårbarhet, inklusive CVSS-poäng och potentiella attackvektorer, hänvisas till Broadcoms säkerhetsrådgivning. Det är också viktigt att regelbundet övervaka system och nätverk för att snabbt identifiera och hantera eventuella säkerhetsincidenter.
Genom att vidta dessa åtgärder kan du minska risken för att dessa sårbarheter utnyttjas och därmed stärka säkerheten i din IT-miljö.
VMware har nyligen släppt kritiska säkerhetsuppdateringar för vCenter Server som adresserar två allvarliga sårbarheter: en heap-overflow-sårbarhet (CVE-2024-38812) och en privilegieeskalering (CVE-2024-38813). Dessa sårbarheter kan potentiellt utnyttjas av illvilliga aktörer och påverka systemets säkerhet allvarligt.
Sammanfattning av sårbarheterna
CVE-2024-38812 – Heap-overflow sårbarhet
Beskrivning: En sårbarhet i implementeringen av DCERPC-protokollet i vCenter Server.
Påverkan: En angripare med nätverksåtkomst kan skicka ett speciellt utformat nätverkspaket som kan leda till fjärrkörning av kod.
Allvarlighetsgrad:Kritisk med en CVSSv3-baspoäng på 9.8.
CVE-2024-38813 – Privilegieeskalering
Beskrivning: En sårbarhet som tillåter en angripare att eskalera sina privilegier till root-nivå.
Påverkan: Genom att skicka ett speciellt utformat nätverkspaket kan en angripare få högre behörighet på systemet.
Allvarlighetsgrad:Viktig med en CVSSv3-baspoäng på 7.5.
Påverkade produkter
VMware vCenter Server versioner 7.0 och 8.0.
VMware Cloud Foundation versioner 4.x och 5.x.
Rekommenderade åtgärder
Uppdatera till senaste versionen
För att åtgärda dessa sårbarheter bör du omedelbart uppdatera till följande versioner:
vCenter Server 8.0: Uppdatera till 8.0 U3b.
vCenter Server 7.0: Uppdatera till 7.0 U3s.
VMware Cloud Foundation 5.x/4.x: Följ asynkron patchningsguide enligt KB88287.
Observera: VMware har identifierat att uppdateringen vCenter Server 8.0 U3b kan introducera funktionsproblem. Läs KB377734 för mer information innan du uppdaterar.
Inga tillgängliga workarounds
Det finns inga tillgängliga inbyggda lösningar för dessa sårbarheter. Det är därför avgörande att du applicerar de officiella uppdateringarna.
Efter installationen, kontrollera att systemet fungerar korrekt och att sårbarheterna har åtgärdats.
Slutsats
Att skydda din VMware-infrastruktur är av yttersta vikt. Vi uppmanar alla administratörer att omedelbart vidta åtgärder för att uppdatera sina system och därmed minimera risken för potentiella säkerhetsincidenter.
För ytterligare information och vanliga frågor, besök:
Vid VMware Explore 2024 presenterade Broadcom en betydande uppdatering av VMware Cloud Foundation (VCF), som lovar att omdefiniera hur företag hanterar sina molninfrastrukturer. Den senaste versionen av VCF integrerar avancerade funktioner för att optimera både privata och hybrida molnmiljöer, med ett särskilt fokus på AI och datahantering.
Huvudfunktioner och Fördelar:
Förbättrad AI-integration: Den nya versionen av VCF har utvecklats för att bättre hantera och bearbeta stora datamängder som genereras av AI-applikationer. Detta är en direkt respons på den exponentiella tillväxten av data och AI-baserade lösningar i moderna affärsmodeller. Genom att effektivt integrera AI kan företag automatisera processer och snabbare generera insikter som driver beslutsfattande.
Skalbarhet och Flexibilitet: VCF 2024 är designad för att ge företag möjlighet att skala sina IT-resurser dynamiskt, vilket är avgörande i en tid av snabb digital transformation. Denna skalbarhet sträcker sig över både privata och hybrida moln, vilket ger en sömlös upplevelse oavsett miljö.
Hållbarhet och Kostnadseffektivitet: Ett annat centralt fokus för den nya versionen är hållbarhet. Genom att optimera resursanvändningen och minska energiförbrukningen hjälper VCF 2024 företag att inte bara spara kostnader utan också minska sitt ekologiska fotavtryck. Detta är särskilt relevant i dagens affärsklimat, där hållbarhet blir allt viktigare för både reglering och företagens sociala ansvar.
Integrerad Säkerhet: Säkerhet är en av de största utmaningarna för molnbaserade lösningar, och VCF 2024 levererar avancerade säkerhetsfunktioner för att skydda data i både privata och hybrida moln. Detta innefattar förbättrade verktyg för övervakning och hantering av säkerhetshot, samt robusta skydd mot cyberattacker.
Snabbare Värdetid: Genom förbättrade implementeringsverktyg och automatiseringsfunktioner kan företag snabbare gå från implementering till operativ verksamhet. Detta innebär att organisationer kan dra nytta av molnfördelarna på kortare tid, vilket är avgörande i dagens snabbrörliga affärsmiljö.
Sammanfattning:
VMware Cloud Foundation 2024 representerar en betydande uppgradering som kombinerar avancerad teknik med praktiska lösningar för moderna företagsbehov. Genom att fokusera på AI-integration, skalbarhet, hållbarhet och säkerhet, erbjuder den en robust plattform för att hantera den komplexa världen av molnbaserad infrastruktur. För företag som vill ligga i framkant av den digitala transformationen, erbjuder VCF 2024 verktygen och flexibiliteten som krävs för att lyckas.
You must be logged in to post a comment.