Tag: VMware

Posted on

BRICKSTORM – “sårbarhet” eller något värre? Så hänger den ihop med vCenter & ESXi (och hur du skyddar och upptäcker angrepp)

Det pratas ibland om “BRICKSTORM-sårbarheten”, men det är viktigt att reda ut begreppen: BRICKSTORM är i första hand en bakdörr/malware-familj som används för långvarig, smygande åtkomst – inte en enskild CVE i sig. Den har observerats i intrång där angripare tar sig in (ofta med stulna legitimationer eller via andra sårbarheter), och sedan installerar BRICKSTORM på VMware vSphere-miljöer, särskilt vCenter och ESXi, eftersom de ger kontroll över hela den virtualiserade infrastrukturen.

Nedan får du en praktisk och defensivt fokuserad genomgång: hur BRICKSTORM relaterar till vCenter/ESXi, varför den är farlig, samt konkreta skydds- och detektionsåtgärder.

Varför vCenter och ESXi är så attraktiva mål

I många organisationer är vCenter “kontrollplanet”: där finns åtkomst till att skapa/ändra VM:ar, snapshotta, klona, hantera nätverk och lagring, och ofta även integreringar mot identitet (AD/SSO).

När en angripare får fotfäste på vCenter/ESXi kan de i praktiken:

  • Skapa eller dölja “rogue” VM:ar för att köra verktyg, pivotera eller exfiltrera data.
  • Stjäla snapshots/kloner av VM:ar och sedan extrahera credentials offline (en extremt effektiv credential access-väg).
  • Tunnla trafik (t.ex. via SOCKS-proxy-funktion) så att kommandokontroll och lateral rörelse ser “normal” ut från insidan.
  • Utnyttja privilegierade konton/komponenter i vSphere (t.ex. vCenter-konton, vpxuser i vissa scenarier) för att röra sig sidledes.

Poängen: om angriparen kontrollerar vCenter kontrollerar de ofta allt som körs på ESXi.

Vad BRICKSTORM är och vad den gör

Enligt den gemensamma analysen (CISA/NSA/Canadian Centre for Cyber Security) är BRICKSTORM en sofistikerad bakdörr som setts mot VMware vSphere (vCenter och ESXi) samt Windows. Den används för långvarig persistence och kommer med indikatorer och detektionssignaturer (bl.a. YARA och Sigma).

Kända/rapporterade egenskaper i kampanjerna inkluderar bland annat:

  • Lång “dwell time” (angriparen ligger kvar länge innan upptäckt).
  • Krypterade C2-kanaler (t.ex. HTTPS/WebSockets/TLS/DoH i rapporterad aktivitet) och ibland proxyfunktion för pivotering.
  • Masquerading (binärer med legitima namn/utseende) och persistence via uppstartsskript/paths.

Typisk angreppsbild kopplad till vCenter/ESXi

Även om intrång kan börja på olika sätt, återkommer ofta ett mönster:

  1. Initial access: internetexponerade edge-enheter, stulna credentials (t.ex. MSP-konton), eller exploaterade sårbarheter som ger fotfäste.
  2. Pivot till vCenter: angriparen tar sig till management-nät/administrationsplan.
  3. Installation av BRICKSTORM på vCenter (och ibland vidare mot ESXi/VM:ar), för stabil och dold åtkomst.
  4. Missbruk av vCenter-funktioner: snapshots, kloner, “rogue” VM:ar, credential harvesting och vidare lateral movement.

I ett rapporterat incidentexempel hade angripare åtkomst från april 2024 och använde BRICKSTORM för persistence åtminstone fram till 3 september 2025 efter att ha laddat upp den till en intern vCenter-server.

Skydd: så minskar du risken att bli nästa vCenter/ESXi-offer

Här är en defensiv checklista med hög “bang for the buck”.

1) Separera och lås ner management-planet

  • Isolera vCenter/ESXi management i ett separat nät (ingen direkt access från klientnät/DMZ).
  • Tillåt administration endast via jump hosts/bastion med hårda kontroller.
  • Blockera utgående trafik från vCenter/ESXi så långt det går (default deny, tillåt bara det som behövs).

Varför: BRICKSTORM-kampanjer utnyttjar ofta att kontrollplanet är “för nära” resten av miljön och att verktyg/EDR inte alltid täcker appliances.

2) Stärk identitet och åtkomst

  • MFA överallt för administrativ access (SSO/IdP, VPN, bastion, vCenter).
  • Minimera och granska privilegier: separata admin-konton, “just enough admin”.
  • Rotera och skydda servicekonton (särskilt om du är MSP eller har många tenants).
  • Larma på nya API-tokens, nya administratörer, och ovanliga inloggningar.

3) Patcha och hårdna vSphere-komponenterna

  • Håll vCenter och ESXi strikt uppdaterade (även om BRICKSTORM inte är “en CVE”, utnyttjas den ofta efter att angriparen fått access via svaga länkar).
  • Stäng av onödiga tjänster (t.ex. begränsa/disable SSH när det inte behövs).
  • Aktivera och använd Lockdown Mode där det är möjligt, och strama åt brandväggsregler på ESXi.
  • Följ VMware hardening guides (och håll konfigurationsavvikelser under kontroll).

4) Säkerhetskopiera och gör recovery realistiskt

  • Ha offline/immutabla backuper av kritiska system (inkl. vCenter-konfig, viktiga VM:ar).
  • Öva återställning: om vCenter komprometteras kan du behöva återbygga snarare än “städa”.

Detektion: så upptäcker du BRICKSTORM och liknande aktivitet

Eftersom traditionell endpoint-telemetri ofta är begränsad på appliances behöver du kombinera loggar, nätverksdetektion och vSphere-specifik övervakning.

1) Använd officiella IOCs + YARA/Sigma

Den gemensamma rapporten innehåller indikatorer och detektionssignaturer (YARA & Sigma) och uppdaterades senast 19 december 2025. Börja där och implementera matchning i din SIEM/EDR/NDR/hunting-pipeline.

Praktiskt tips:

  • Kör YARA där du kan (forensiska image-sökningar, EDR på Linux/Windows där relevant).
  • Kör Sigma-regler i SIEM (översätt vid behov till din plattformsformat).

2) Övervaka vCenter för “administrativt missbruk”

Larma/hunta på:

  • Ovanliga snapshot- och kloningsmönster (tidpunkt, frekvens, mål-VM:ar).
  • Skapande av nya VM:ar som snabbt skapas/avregistreras/stängs ner (kan vara “rogue”/dolda).
  • Nya/oväntade konton, rolländringar och behörighetseskaleringar.
  • Aktivitet från oväntade IP-adresser mot vCenter API/UI.

3) Nätverksdetektion: leta efter “osannolika” utgående mönster

BRICKSTORM-aktivitet har rapporterats använda krypterade protokoll och ibland proxyfunktioner, vilket gör att klassisk signaturbaserad detektion kan vara svår.

Larma på:

  • vCenter/ESXi som plötsligt gör nya utgående TLS/HTTPS-förbindelser till okända destinationsnät.
  • DNS-over-HTTPS-liknande beteenden från system som normalt inte behöver det.
  • Tecken på tunnling/proxy (t.ex. många interna destinationsförsök som “kommer från” vCenter/ESXi).

4) Host-baserad jakt på vCenter/ESXi (när du kan)

På vCenter Server Appliance (VCSA) är det extra värdefullt att:

  • Samla in och centralt lagra loggar (syslog) från vCenter/ESXi.
  • Larma på förändringar i uppstart/persistence-mekanismer (init-/startup-skript, ovanliga binärer, PATH-manipulation, tjänster som inte borde finnas).

Obs: Exakta filnamn/artefakter varierar mellan varianter och kan vara anpassade per offer, så basera inte allt på en enda IOC. Kombinera TTP-baserad jakt + officiella signaturer.

Om du misstänker intrång: snabb IR-checklista (vCenter/ESXi)

  1. Isolera management-nätet (kontrollerat): stoppa utgående trafik från vCenter/ESXi där möjligt.
  2. Säkra bevis: ta forensiska snapshots/exports av relevanta loggar och system (innan “städning”).
  3. Jämför mot rapportens IOCs + regler (YARA/Sigma).
  4. Rotera credentials: särskilt vCenter admin, SSO/IdP, servicekonton, och alla konton som kan nå management-planet.
  5. Granska vSphere-händelser: snapshots, kloner, nya VM:ar, rolländringar.
  6. Planera för återuppbyggnad: i vissa fall är säkraste vägen att återställa/återinstallera vCenter från “known good” och återansluta hostar kontrollerat.

Sammanfattning

BRICKSTORM är farlig av en enkel anledning: den siktar på din kontrollyta, inte dina vanliga endpoints. När vCenter/ESXi komprometteras kan angriparen:

  • extrahera credentials via snapshots,
  • skapa/dölja VM:ar,
  • och använda plattformen som språngbräda för långvarig åtkomst.

Skyddet handlar därför om att låsa ner management-planet, stärka identitet, segmentera, begränsa utgående trafik och bygga detektion som faktiskt täcker vSphere – plus att implementera de IOCs och YARA/Sigma-regler som publicerats i den gemensamma analysen.

Finns det något verktyg för detektering av BRICKSTORM?

Utöver klassisk logg- och nätverksövervakning finns det nu specialiserade verktyg framtagna specifikt för att upptäcka spår av BRICKSTORM i VMware-miljöer. Ett av de mest användbara är brickstorm-scanner, ett öppet verktyg publicerat av Mandiant.

🔗 https://github.com/mandiant/brickstorm-scanner

Vad är brickstorm-scanner?

brickstorm-scanner är ett forensiskt detektionsverktyg som är designat för att identifiera indikatorer på BRICKSTORM-kompromettering, med särskilt fokus på:

  • vCenter Server Appliance (VCSA)
  • ESXi-hostar
  • Linux-system som kan ha använts i attackkedjan

Verktyget är utvecklat baserat på Mandiants incidentresponsarbete och publika hotunderrättelser kring BRICKSTORM.

Vad letar verktyget efter?

brickstorm-scanner söker efter flera typer av artefakter som är typiska för BRICKSTORM-operationer, bland annat:

  • Kända filhashar och binärer
  • Ovanliga eller modifierade start-/persistence-mekanismer
  • Misstänkta processer och tjänster
  • Avvikelser i filsystemet som tyder på masquerading
  • Spår av bakdörrsinstallation på vCenter/VCSA

Viktigt: verktyget är byggt för detektion och triage, inte för borttagning. Ett positivt fynd ska alltid följas av en fullständig incidenthantering.

Hur och när bör verktyget användas?

brickstorm-scanner passar särskilt bra i följande scenarier:

  • Threat hunting i vSphere-miljöer
  • Efter misstänkt intrång (t.ex. ovanliga vCenter-händelser, snapshots, eller nätverkstrafik)
  • Proaktiv kontroll av högvärdessystem som vCenter

Rekommenderad praxis:

  1. Kör verktyget offline eller i ett kontrollerat IR-läge
  2. Samla och spara resultat som forensiskt bevismaterial
  3. Korrelatera fynd med:
    • vCenter-/ESXi-loggar
    • SIEM-larm
    • Nätverksdata
    • Officiella IOCs och YARA/Sigma-regler

Begränsningar att känna till

Som med alla IOC-baserade verktyg gäller:

  • Ett negativt resultat betyder inte att miljön är ren
  • BRICKSTORM-aktörer är kända för att:
    • Anpassa filnamn och paths
    • Kompilera unika varianter per offer
  • Verktyget bör därför användas som en del av en större detektionsstrategi, inte som enda skydd

Rekommenderad kombination

För bästa effekt bör brickstorm-scanner användas tillsammans med:

  • Centraliserad logginsamling från vCenter & ESXi
  • Nätverksövervakning (NDR) för utgående trafik från management-planet
  • Regelbunden granskning av snapshots, kloner och VM-skapande
  • Stark identitetssäkerhet (MFA, begränsade API-tokens, bastion access)

Officiella resurser från VMware (BRICKSTORM-guidelines)

För att hjälpa organisationer att skydda sina VMware-miljöer mot avancerade hot som BRICKSTORM har VMware publicerat en samling guider och resurser inom sitt Security & Compliance Guidelines-repo på GitHub.

Resurserna ligger under katalogen ransomware-resources/BRICKSTORM i detta repo:
https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/ransomware-resources/BRICKSTORM

Även om GitHub-sidan i sig inte är en fullständig “instruktionsmanual”, fungerar den som en samling av riktlinjer, verktyg och konfigurationsguider som du kan använda för att:

Förbättra din säkerhetskonfiguration

I hela vcf-security-and-compliance-guidelines-projektet finns exempel på:

  • Hardening-riktlinjer för VMware-komponenter (som vCenter och ESXi) för att minska ytan för angrepp.
  • Checklistor och policyer som hjälper dig att säkra både VMware Cloud Foundation och vSphere.
  • Ransomware-resurser kategoriserade utifrån olika hot, inklusive BRICKSTORM, som ger en defensiv ram att arbeta utifrån.

Exempel på vad du får hjälp med

Guidelines-projektet är inte bara en kodbas – det innehåller:

  • Security Configuration Hardening Guide: detaljerade rekommendationer för hur du sätter säkerhetsinställningar rätt i VMware-produkter.
  • Ransomware-resurser: samlade dokument och best practices för att förbereda, upptäcka och återhämta dig från intrång som involverar ransomware-liknande bakdörrar såsom BRICKSTORM.
  • Exempelskript, politiska kontroller och rådatat: som kan implementeras i verktyg och automationer i din miljö.

Hur dessa riktlinjer hjälper mot BRICKSTORM

Den BRICKSTORM-specifika delen av VMware-guiden är tänkt att komplettera andra detektions- och skyddsåtgärder – som de vi redan nämnt (t.ex. brickstorm-scanner). Den används bäst i kombination med:

  • Standard hardening-guider för vSphere/vCenter, som minskar attackytan generellt.
  • Policy-drivna kontroller och larm i din SIEM/övervakningslösning.
  • Automatiserade compliance-kontroller, vilket gör det lättare att se avvikelser från “known good”-konfigurationer.

Eftersom VMware-guiden underhålls tillsammans med andra säkerhetsresurser innebär det att du får kontinuerligt uppdaterade best practices som hjälper dig att:

* implementera least privilege och hård autentisering
* konfigurera loggning och audit trails
* upptäcka avvikelser i konfigurationer
* förbereda återställningspunkter och resilient design

Att använda dessa riktlinjer är ett sätt att proaktivt minska risken för BRICKSTORM-komprometteringar istället för att enbart reagera efter att ett intrång inträffat.

Posted on

Så fungerar Broadcoms Partnercertifiering 2026

Broadcoms partnercertifieringsprogram för 2026 är utformat för att säkerställa att partnerresurser har rätt kompetens och erfarenhet för att leverera värde till kunderna. Programmet bygger på en tydlig struktur med olika roller, certifieringsnivåer och krav som gör det möjligt för partners att differentiera sig på marknaden.

Certifieringsmodellen – Tre nivåer av expertis

Broadcoms certifieringsmodell är uppdelad i tre nivåer:

  • Proven Professional – Grundläggande teoretisk förståelse.
  • Certified Expert – Avancerad kompetens och praktisk erfarenhet.
  • Knight – Tvärfunktionell expertis och exceptionell förmåga.

Dessa nivåer gäller för fem funktionella roller:

  1. Sales
  2. Pre-Sales
  3. Implementation
  4. Architect
  5. Support

Varje roll har specifika krav och kompetenser som måste valideras innan certifiering beviljas.

Produkter som omfattas av certifiering

Certifieringarna täcker ett brett spektrum av Broadcoms lösningar, inklusive:

  • Enterprise Software (tidigare CA-produkter)
  • Cybersecurity Software (tidigare Symantec & VMware)
  • VMware-produkter som VCF, Tanzu, NSX, vSAN med flera.

Exempel på produkter:

  • Clarity PPM
  • Automic Automation
  • DX NetOps
  • Carbon Black Cloud
  • VMware Cloud Foundation (VCF)
  • Tanzu Platform

Så här fungerar certifieringsprocessen per roll

Sales

  • Proven Sales Professional: Genomför kurser via Partner Portal och klara ett online-test i Broadcom LMS.
  • Certified Sales Expert: Utöver Proven-nivån krävs en inspelad kundpresentation (minst 30 min) eller godkänt VCF-simuleringsprov.

Pre-Sales

  • Proven Pre-Sales Professional: Visa förmåga att demonstrera produktfunktioner via video eller SME-validering.
  • Certified Pre-Sales Expert: Kräver erfarenhet av minst en POC/POV-engagemang och inskickad dokumentation.

Implementation

  • Proven Implementation Professional: Klara ett tredjepartsexamen efter rekommenderad utbildning.
  • Certified Implementation Expert: Dokumentera minst två implementationsprojekt med detaljerade SOW-dokument.

Architect

  • Proven Architecture Professional: Klara tredjepartsexamen.
  • Certified Architecture Expert: Dokumentera minst två avancerade lösningsdesignprojekt med SOW-dokument.

Support

  • Proven Support Professional: Klara tredjepartsexamen.
  • Certified Support Expert: Visa historik med minst 100 supportärenden per år eller ett års avancerad support.

Beviskrav (Evidence Pack)

För Certified Expert-nivån krävs alltid:

  • Förhandskrav: Proven Professional-certifikat för aktuell roll och produkt.
  • Dokumentation: Exempelvis inspelad presentation, POC-dokument, SOW-filer eller supporthistorik.
  • Formatkrav: MP4-video (max 100 MB), detaljerade dokument med kundnamn och datum.

Varför är detta viktigt?

Broadcoms certifieringsprogram stärker partnerkompetensen och skapar förtroende hos kunder. Genom att följa denna process kan partners:

  • Differentiera sig på marknaden.
  • Säkerställa hög kvalitet i leveranser.
  • Bygga långsiktiga kundrelationer.

Tips för att lyckas

  • Börja med att identifiera vilka produkter och roller som är mest relevanta för din organisation.
  • Använd Broadcom Partner Portal för att komma åt utbildningsmaterial och ansökningsformulär.
  • Planera tidigt för att samla in nödvändig dokumentation för Certified Expert-nivån.
Posted on

Säkerhetsuppdateringar för VMware Tanzu Greenplum Backup and Restore 1.32.2

Broadcom har publicerat ett säkerhetsmeddelande (Notification Id 36728) som gäller en ny produktversion och säkerhetsuppdateringar för VMware Tanzu Greenplum Backup and Restore 1.32.2. Meddelandet är klassificerat som High severity med en CVSS 3.1-poäng på 7.5, vilket innebär att det rör sig om betydande säkerhetsbrister som kan utnyttjas av angripare om de inte åtgärdas i tid.

Vad är Tanzu Greenplum Backup and Restore?

Tanzu Greenplum Backup and Restore är en komponent i VMware Tanzu Data- och Greenplum-ekosystemet som används för att säkerställa att data i Greenplum-kluster kan säkerhetskopieras och återställas på ett tillförlitligt sätt. Den här komponenten är kritisk i produktionsmiljöer där dataförlust eller driftstopp kan få stora konsekvenser.

Sammantaget om säkerhetsuppdateringarna

Den nya versionen 1.32.2 innehåller ett antal säkerhetsfixar för komponenten greenplum-backup-restore. Broadcom listar flera lösta sårbarheter som adresseras i den här uppdateringen — samtliga är associerade med identifierade CVE-nummer. Dessa sårbarheter kan potentiellt utnyttjas av angripare för att orsaka allvarliga problem, inklusive:

  • Förhindrande av drift
  • Exekvering av oönskad kod
  • Potentiell dataintegritetsrisk
  • Eskalering av privilegier

Rekommendationer

För alla som använder VMware Tanzu Greenplum Backup and Restore i produktions- eller testmiljöer rekommenderas följande:

Uppgradera snarast

Installera version 1.32.2 så snart som möjligt för att skydda systemet från kända säkerhetsbrister. Support Portal

Granska CI/CD och automatisk patchning

Se till att era build pipelines, konfigurationshantering och patchningsrutiner innehåller steg för att ta med nya säkerhetsuppdateringar.

Testa i isolerade miljöer först

Innan ni rullar ut uppdateringar i produktion — testa först i en staging-miljö för att undvika driftstörningar.

Sammanfattning

Broadcoms säkerhetsmeddelande 36728 beskriver en viktig produktuppdatering till VMware Tanzu Greenplum Backup and Restore 1.32.2 som åtgärdar ett antal säkerhetsbrister med high och medium allvarlighetsgrad. Genom att uppgradera till denna version och följa bästa praxis inom patchhantering minskar ni risken för allvarliga incidenter i era system.

Posted on

Optimera din VMware VCF miljö

Varför prestandaoptimering i vSphere är viktigt

När du kör virtuella maskiner med vSphere delar flera VM:ar på samma underliggande fysiska resurser — CPU, minne, I/O, nätverk och lagring. Om inte dessa resurser är korrekt konfigurerade och balanserade kan det leda till flaskhalsar, låg responstid, eller att vissa VM:ar påverkar andra negativt. Därför är det viktigt att följa vissa best practices för att få ut maximal prestanda, stabilitet och effektiv resursanvändning.

Därför publicerar VMware riktlinjer för hur hårdvara, ESXi-konfiguration, virtuell maskin-konfiguration, lagring, nätverk och infrastrukturhantering bör utformas.

Rekommendationer för hårdvara

CPU & virtualisering

  • Välj CPU:er som stöder hårdvaruassisterad virtualisering — t.ex. Intel VT-x / AMD-V, och för minneshantering Intel EPT eller AMD RVI.
  • Kontrollera att hårdvaran finns med på vSphere: s officiella kompatibilitetslista.
  • Undersök minnet noga — exempelvis genom att köra test under 72 timmar för att upptäcka eventuella minnesfel innan produktion.

Minnes- och lagringskonfiguration

  • Om du använder minnestiering (memory tiering) — en ny möjlighet i vSphere 9.0 — bör du välja NVMe-enheter med hög uthållighet och minst 100 000 skrivningar per sekund (per enhet) för att hantera belastning bra.
  • För lagringsenheter: använd snabba back-end-lösningar med rätt RAID, cache och ”stripe size” beroende på arbetsbelastning.
  • För flash / SSD / NVMe: överväg PCIe-anslutna NVMe-kort — de ger oftast bäst prestanda.

Nätverk & I/O-kort

  • När du använder snabb lagring — t.ex. NVMe eller flash för swap / cache — är det viktigt att nätverk och I/O-kort (t.ex. PCIe-kort) placeras i platser med tillräcklig bandbredd (tillräckligt många ”lanes”).

Virtuell maskin & ESXi — inställningar som påverkar prestanda

När hårdvaran är på plats är följande inställningar viktiga:

  • Undvik överdriven minnes-overcommit: överutnyttja inte värdens minne på bekostnad av prestanda.
  • Använd “Large Memory Pages” (t.ex. 2 MB sidor) där det är möjligt — det kan minska overhead och förbättra minnesprestanda.
  • För arbetsbelastningar som är känsliga för latens — t.ex. databaser — se till att lagring, I/O-vägar och nätverk är korrekt konfigurerade för låg latens.
  • Vid användning av funktioner som direkt I/O-åtkomst (t.ex. SR-IOV, DirectPath I/O) — konfigurera korrekt för att undvika prestandaförsämringar.

Infrastruktur- och management-nivå: vCenter & hantering

Prestanda påverkas inte bara av hårdvara och VM-konfiguration — även hur infrastrukturen hanteras spelar stor roll:

  • Om du använder vCenter Server: tänk igenom databas- och lagringskonfiguration för vCenter, särskilt med avseende på nätverk och I/O.
  • Använd resurshantering — t.ex. kluster med VMware Distributed Resource Scheduler (DRS), VMware vMotion / Storage vMotion och VMware vSAN (om relevant) — men dimensionera och konfigurera dessa med omsorg för att undvika prestandaproblem.
  • För vSAN: välj mellan ”all-flash” eller hybrid beroende på krav — och planera nätverk, lagring och layout noggrant.

Hur du kommer igång — praktiska tips

  1. Inventera din hårdvara – kontrollera att CPU, minne, lagrings- och nätverkskort är kompatibla med vSphere 9.0. Kör minnestest om möjligt.
  2. Planera din lagrings- och I/O-struktur – välj lagringsenheter med tillräcklig prestanda, undvik översubskription av I/O, konfigurera korrekt PCIe-bandbredd.
  3. Tänk på hakearbeten och latens-känsliga arbetsbelastningar – använd Large Pages, dedikerade resurser, och överväg direkt I/O/SR-IOV om det behövs.
  4. Konfigurera resurshantering och kluster med omsorg, t.ex. DRS, vMotion, vSAN, sambandet mellan resurser och verkliga arbetsbelastningar.
  5. Övervaka prestanda kontinuerligt — missa inte att gå igenom vCenter-loggar, övervaka I/O, CPU, minne och svarstider på VM:ar.

Slutsats

Att driftsätta en virtuell miljö med vSphere 9.0 är mer än bara att installera ESXi och vCenter — det kräver noggrann planering av hårdvara, lagring, nätverk och konfigurationer för att verkligen få ut god prestanda. Genom att följa best practices från dokumentet kan du skapa en stabil, effektiv och högpresterande virtualiseringsmiljö.

Läs hela dokumentet här: https://www.vmware.com/docs/vsphere-esxi-vcenter-server-90-performance-best-practices

Posted on

VMware åtgärdar flera säkerhetsbrister i Aria Operations och VMware Tools – Viktiga uppdateringar tillgängliga

Broadcom har nyligen publicerat en viktig säkerhetsrådgivning (VMSA-2025-0015.1) som rör flera sårbarheter i VMware Aria Operations och VMware Tools. Dessa brister kan utnyttjas för att eskalera privilegier, avslöja känslig information och kringgå auktorisering – och vissa har redan observerats i verkliga attacker.

Sammanfattning av sårbarheterna

1. Lokal privilegieeskalering (CVE-2025-41244)

  • Beskrivning: En lokal användare med begränsade rättigheter kan utnyttja en brist i VMware Tools och Aria Operations för att få root-åtkomst på samma VM.
  • CVSSv3-poäng: Upp till 7.8 – klassificeras som viktig.
  • Status: Broadcom har indikationer på att denna sårbarhet redan har utnyttjats i det vilda.
  • Åtgärd: Uppdatera till versioner som anges i Broadcoms responsmatris.

2. Informationsläckage (CVE-2025-41245)

  • Beskrivning: En användare med begränsade rättigheter i Aria Operations kan komma åt andra användares autentiseringsuppgifter.
  • CVSSv3-poäng: 4.9 – klassificeras som måttlig.
  • Åtgärd: Uppdatera till version 8.18.5 av Aria Operations.

3. Bristande auktorisering (CVE-2025-41246)

  • Beskrivning: VMware Tools för Windows hanterar användaråtkomst på ett sätt som kan tillåta obehörig åtkomst till andra VMs.
  • CVSSv3-poäng: Upp till 7.6 – klassificeras som viktig.
  • Åtgärd: Uppdatera till VMware Tools version 13.0.5 eller 12.5.4 beroende på system.

Berörda produkter

  • VMware Aria Operations (versioner 2.x till 8.x)
  • VMware Tools (Windows, Linux)
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform & Infrastructure

Rekommenderade åtgärder

Broadcom har släppt patchar för att åtgärda dessa sårbarheter. Det finns inga kända workarounds, vilket gör det kritiskt att uppdatera till de angivna versionerna så snart som möjligt. Nedladdningslänkar och dokumentation finns tillgängliga via Broadcoms supportportal

Posted on

Säkerhetsuppdatering från Broadcom: VMware Aria Operations och VMware Tools åtgärdar flera sårbarheter

Broadcom har släppt en viktig säkerhetsuppdatering, VMSA-2025-0015, som adresserar flera sårbarheter i VMware Aria Operations och VMware Tools. Dessa sårbarheter, identifierade som CVE-2025-41244, CVE-2025-41245 och CVE-2025-41246, har en allvarlighetsgrad i intervallet 4.9–7.8 enligt CVSSv3 och klassas som viktiga. Här är en översikt av sårbarheterna, deras påverkan och hur de kan åtgärdas.

Påverkade produkter

De berörda produkterna inkluderar:

  • VMware Aria Operations
  • VMware Tools
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform
  • VMware Telco Cloud Infrastructure

Sårbarheter och deras påverkan

1. Lokal privilegieeskalering (CVE-2025-41244)

Beskrivning: VMware Aria Operations och VMware Tools har en sårbarhet för lokal privilegieeskalering. En skadlig lokal aktör med icke-administrativa behörigheter som har tillgång till en virtuell maskin (VM) med VMware Tools installerat och hanterat av Aria Operations med SDMP aktiverat kan utnyttja denna sårbarhet för att eskalera privilegier till root på samma VM.
Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.8.
Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns tillgängliga.
Erkännande: Tack till Maxime Thiebaut (NVISO) för rapporteringen av denna sårbarhet.
Noter: VMware Tools 12.4.9 (del av 12.5.4) åtgärdar även problemet för Windows 32-bit. En version av open-vm-tools som åtgärdar CVE-2025-41244 kommer att distribueras av Linux-leverantörer.

2. Informationsläcka i VMware Aria Operations (CVE-2025-41245)

Beskrivning: VMware Aria Operations har en sårbarhet för informationsläcka. En skadlig aktör med icke-administrativa behörigheter i Aria Operations kan utnyttja denna sårbarhet för att avslöja inloggningsuppgifter för andra användare i Aria Operations.
Allvarlighetsgrad: Måttlig, CVSSv3-poäng 4.9.
Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns.
Erkännande: Tack till Sven Nobis och Lorin Lehawany från ERNW Enno Rey Netzwerke GmbH för rapporteringen.

Svarsmatris för CVE-2025-41244 och CVE-2025-41245:

ProduktKomponentVersionPlattformCVECVSSv3AllvarlighetsgradFast VersionTillfällig lösningYtterligare dokument
VMware Cloud Foundation, VMware vSphere FoundationVMware Cloud Foundation Operations9.x.x.xAllaCVE-2025-412447.8Viktig9.0.1.0IngenIngen
VMware Cloud Foundation, VMware vSphere FoundationVMware Tools13.x.x.x [2]Windows, LinuxCVE-2025-412447.8Viktig13.0.5.0IngenIngen
VMware Aria OperationsVMware Aria Operations8.xAllaCVE-2025-41244, CVE-2025-412457.8, 4.9Viktig8.18.5IngenIngen
VMware ToolsN/A13.x.xWindows, LinuxCVE-2025-412447.8Viktig13.0.5IngenIngen
VMware ToolsN/A12.x.x, 11.x.xWindows, LinuxCVE-2025-412447.8Viktig12.5.4IngenIngen
VMware Cloud FoundationVMware Aria Operations5.x, 4.xAllaCVE-2025-41244, CVE-2025-412457.8, 4.9ViktigKB92148IngenIngen
VMware Telco Cloud PlatformVMware Aria Operations5.x, 4.xAllaCVE-2025-41244, CVE-2025-412457.8, 4.9Viktig8.18.5IngenIngen
VMware Telco Cloud InfrastructureVMware Aria Operations3.x, 2.xAllaCVE-2025-41244, CVE-2025-412457.8, 4.9Viktig8.18.5IngenIngen

3. Felaktig auktorisering i VMware Tools (CVE-2025-41246)

Beskrivning: VMware Tools för Windows har en sårbarhet för felaktig auktorisering på grund av hur användaråtkomstkontroller hanteras. En skadlig aktör med icke-administrativa behörigheter på en gäst-VM, som redan är autentiserad via vCenter eller ESX, kan utnyttja denna sårbarhet för att få åtkomst till andra gäst-VM:er. Framgångsrik exploatering kräver kunskap om inloggningsuppgifter för målen och vCenter eller ESX.
Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.6.
Åtgärd: Applicera patcharna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns.
Erkännande: Tack till säkerhetsforskaren Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) från Statnett (Norge) för rapporteringen.
Noter: VMware Tools 12.4.9 (del av 12.5.4) åtgärdar även problemet för Windows 32-bit. Denna sårbarhet påverkar endast VMware Tools för Windows.

Svarsmatris för CVE-2025-41246:

ProduktKomponentVersionPlattformCVECVSSv3AllvarlighetsgradFast VersionTillfällig lösningYtterligare dokument
VMware Cloud Foundation, VMware vSphere FoundationVMware Tools13.x.x.x [2]WindowsCVE-2025-412467.6Viktig13.0.5.0IngenIngen
VMware Tools [2]N/A13.x.xWindowsCVE-2025-412467.6Viktig13.0.5IngenIngen
VMware Tools [2]N/A12.x.x, 11.x.xWindowsCVE-2025-412467.6Viktig12.5.4IngenIngen
VMware ToolsN/A12.x.x, 11.x.xLinuxCVE-2025-41246N/AN/AOpåverkadN/AN/A
VMware ToolsN/A12.x.x, 11.x.xmacOSCVE-2025-41246N/AN/AOpåverkadN/AN/A

Rekommendationer

Broadcom uppmanar alla användare av de berörda produkterna att omedelbart applicera de tillgängliga patcharna för att skydda sina system. Det finns inga tillfälliga lösningar för dessa sårbarheter, så uppdatering till de angivna versionerna är avgörande.

Referenser och ytterligare resurser

Slutsats

Dessa sårbarheter understryker vikten av att hålla dina VMware-produkter uppdaterade. Genom att snabbt applicera de rekommenderade patcharna kan du skydda dina system från potentiella attacker.

Posted on

Säkerhetsuppdatering från Broadcom: VMware vCenter och NSX åtgärdar flera sårbarheter

Broadcom har släppt en viktig säkerhetsuppdatering, VMSA-2025-0016, som adresserar flera sårbarheter i VMware vCenter och NSX. Dessa sårbarheter, identifierade som CVE-2025-41250, CVE-2025-41251 och CVE-2025-41252, har en allvarlighetsgrad i intervallet 7.5–8.5 enligt CVSSv3 och klassas som viktiga. Här är en översikt av sårbarheterna, deras påverkan och hur de kan åtgärdas.

Påverkade produkter

De berörda produkterna inkluderar:

  • VMware vCenter Server
  • VMware NSX
  • NSX-T
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform
  • VMware Telco Cloud Infrastructure

Sårbarheter och deras påverkan

1. SMTP-headerinjektion i vCenter (CVE-2025-41250)

Beskrivning: VMware vCenter har en sårbarhet för SMTP-headerinjektion. En angripare med icke-administrativa behörigheter, men med rättigheter att skapa schemalagda uppgifter, kan manipulera notifikationsmejl som skickas för dessa uppgifter.
Allvarlighetsgrad: Viktig, CVSSv3-poäng 8.5.
Åtgärd: Uppdatera till de versioner som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns tillgängliga.
Erkännande: Tack till Per von Zweigbergk för rapporteringen av denna sårbarhet.

Svarsmatris för CVE-2025-41250:

ProduktKomponentVersionFast VersionDokumentation
VMware Cloud Foundation, VMware vSphere FoundationvCenter9.x.x.x9.0.1.0Ingen
VMware vCenterN/A8.08.0 U3gLänk
VMware vCenterN/A7.07.0 U3wLänk
VMware Cloud FoundationvCenter5.x5.2.2Async Patching Guide: KB88287
VMware Cloud FoundationvCenter4.5.xAsync patch till 7.0 U3wAsync Patching Guide: KB88287
VMware Telco Cloud PlatformvCenter5.x, 4.x, 3.x, 2.xKB411508Ingen
VMware Telco Cloud InfrastructurevCenter3.x, 2.xKB411508Ingen

2. Svag lösenordsåterställningsmekanism i NSX (CVE-2025-41251)

Beskrivning: VMware NSX har en sårbarhet i sin lösenordsåterställningsmekanism som kan utnyttjas av en oautentiserad angripare för att lista giltiga användarnamn, vilket potentiellt kan leda till brute-force-attacker.
Allvarlighetsgrad: Viktig, CVSSv3-poäng 8.1.
Åtgärd: Applicera uppdateringarna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns.
Erkännande: Tack till National Security Agency för rapporteringen.

3. Användarnamnsuppräkning i NSX (CVE-2025-41252)

Beskrivning: VMware NSX har en sårbarhet för användarnamnsuppräkning som gör det möjligt för en oautentiserad angripare att identifiera giltiga användarnamn, vilket kan underlätta obehöriga åtkomstförsök.
Allvarlighetsgrad: Viktig, CVSSv3-poäng 7.5.
Åtgärd: Applicera uppdateringarna som anges i svarsmatrisen nedan. Inga tillfälliga lösningar finns.
Erkännande: Tack till National Security Agency för rapporteringen.

Svarsmatris för CVE-2025-41251 och CVE-2025-41252:

ProduktKomponentVersionFast VersionDokumentation
VMware Cloud Foundation, VMware vSphere FoundationVMware NSX9.x.x.x9.0.1.0Ingen
VMware NSXN/A4.2.x4.2.2.2, 4.2.3.1Länk 4.2.2.2, Länk 4.2.3.1
VMware NSXN/A4.1.x, 4.0.x4.1.2.7Länk
NSX-TN/A3.x3.2.4.3Länk
VMware Cloud FoundationVMware NSX5.x, 4.5.xKB88287Async Patching Guide: KB88287
VMware Telco Cloud InfrastructureVMware NSX3.x, 2.xKB411518Ingen
VMware Telco Cloud PlatformVMware NSX5.x, 4.x, 3.xKB411518Ingen

Rekommendationer

Broadcom uppmanar alla användare av de berörda produkterna att omedelbart applicera de tillgängliga uppdateringarna för att skydda sina system. Det finns inga tillfälliga lösningar för dessa sårbarheter, så uppdatering till de angivna versionerna är avgörande.

Referenser och ytterligare resurser

Slutsats

Dessa sårbarheter understryker vikten av att hålla dina VMware-produkter uppdaterade. Genom att snabbt applicera de rekommenderade uppdateringarna kan du skydda dina system från potentiella attacker.

Posted on

VMware Cloud Foundation 9.0: Framtiden för privata moln är här

Introduktion till en ny era av privata moln
Broadcom har lanserat VMware Cloud Foundation (VCF) 9.0, en banbrytande plattform som markerar en milstolpe i utvecklingen av moderna privata moln. Med fokus på förenklad drift, förbättrad säkerhet och stöd för både virtuella maskiner (VM) och containrar, är VCF 9.0 designad för att möta dagens och morgondagens krav på digital transformation. Denna bloggpost utforskar de viktigaste funktionerna i VCF 9.0 och hur de kan hjälpa företag att optimera sin IT-infrastruktur.

VMware VCF 9.0 nu tillgängligt

Vad är VMware Cloud Foundation 9.0?

VMware Cloud Foundation 9.0 är en enhetlig privat molnplattform som kombinerar skalbarheten och flexibiliteten hos publika moln med säkerheten och kontrollen hos privata moln. Plattformen integrerar VMware’s lösningar för compute, lagring och nätverk till en sömlös svit, vilket eliminerar silos och förenklar hanteringen av både traditionella och moderna applikationer, inklusive AI-drivna arbetsbelastningar.

Nyckelfunktioner i VCF 9.0

  1. Enhetlig hanteringsgränssnitt
    VCF 9.0 introducerar ett nytt, enhetligt gränssnitt för molnadministratörer, vilket ger en helhetsvy över den privata molnmiljön. Den nya Quick Start-appen minskar installationstiden och komplexiteten, medan verktyg för fleet management gör det möjligt att planera och genomföra uppgraderingar över flera kluster effektivt.
  2. Stöd för både VM och containrar
    Plattformen behandlar virtuella maskiner och containrar som likvärdiga, vilket ger utvecklare en friktionsfri, självbetjäningsupplevelse. Detta är särskilt viktigt för organisationer som vill modernisera sina applikationer och integrera cloud-native teknologier.
  3. Förbättrad säkerhet och suveränitet
    Med växande regulatoriska krav globalt integrerar VCF 9.0 cybersäkerhet i grunden, inklusive verktyg för live recovery, mikrosegmentering och clean room-funktioner. Detta gör plattformen idealisk för företag som hanterar känslig data och behöver säkerställa dataskydd och efterlevnad.
  4. Kostnadseffektivitet och prestandaoptimering
    En av de mest innovativa funktionerna är NVMe-minnestiering i ESXi, som optimerar arbetsminnet genom att flytta “kallt” minne till kostnadseffektiv NVMe-lagring. Detta kan leda till upp till 38% lägre total ägandekostnad (TCO), enligt Broadcom.
  5. AI och moderna arbetsbelastningar
    VCF 9.0 är byggd för att stödja AI-infrastruktur, inklusive VMware Private AI Foundation med NVIDIA. Detta gör det möjligt för företag att skala AI-arbetsbelastningar effektivt och säkert i en privat molnmiljö.

Varför VCF 9.0 är en game-changer

Enligt Broadcom’s Private Cloud Outlook 2025-rapport, baserad på en global studie av 1 800 IT-beslutsfattare, ser företag en tydlig trend mot privata moln som det strategiska navet för IT. 93% av organisationerna rapporterar att de slösar pengar på publika moln, och VCF 9.0 adresserar detta genom att erbjuda kostnadstransparens och förutsägbara kostnader. Plattformen möjliggör också snabbare innovation genom att minska komplexiteten och ge IT-team möjlighet att fokusera på strategiska initiativ.

Fördelar för olika team

  • Infrastrukturteam: Automatiserad livscykelhantering och fleet-level uppgraderingar minskar driftskomplexiteten.
  • Applikationsteam: En självbetjäningsmodell gör det enklare att distribuera och hantera moderna applikationer.
  • Säkerhetsteam: Inbyggda säkerhetsfunktioner som mikrosegmentering och live recovery stärker motståndskraften mot cyberhot.

Tillgänglighet och implementering

VCF 9.0 är allmänt tillgänglig från och med 17 juni 2025 och erbjuds som en uppgradering för befintliga VCF- och VVF-prenumerationskunder. Broadcom har också introducerat enbart prenumerationsbaserade licenser, vilket markerar ett skifte från traditionella eviga licenser. För att underlätta övergången till VCF 9.0 arbetar Broadcom med en omfattande migreringsplan för att flytta befintliga arbetsbelastningar till den nya plattformen.

Kundreaktioner och marknadsposition

Broadcom rapporterar att 87% av deras 10 000 största VMware-kunder redan har åtagit sig att använda VCF, vilket visar på starkt marknadsmottagande. Trots detta har vissa kunder uttryckt oro över kostnader och förändringar i licensmodellen, vilket har lett till diskussioner om Broadcoms strategiska förändringar efter förvärvet av VMware.

Slutsats

VMware Cloud Foundation 9.0 är inte bara en uppgradering – det är en omdefiniering av vad ett privat moln kan vara. Genom att kombinera enkelhet, säkerhet och stöd för nästa generations arbetsbelastningar positionerar VCF 9.0 Broadcom som en ledare i den växande privata molnmarknaden. För företag som vill modernisera sin IT-infrastruktur, kontrollera kostnader och förbereda sig för AI-driven innovation är VCF 9.0 ett kraftfullt verktyg för att navigera i den digitala transformationens era.

För mer information, besök Broadcoms officiella nyhetsrelease eller VMware Cloud Foundation-bloggen.

Posted on

Sårbarheter i VMware NSX

Broadcom har nyligen släppt en säkerhetsrådgivning (VMSA-2025-0012) som adresserar flera sårbarheter i VMware NSX, inklusive lagrade Cross-Site Scripting (XSS)-sårbarheter. Dessa sårbarheter påverkar även relaterade produkter som VMware Cloud Foundation och VMware Telco Cloud Platform.

Sammanfattning av sårbarheterna

Tre separata XSS-sårbarheter har identifierats i olika komponenter av VMware NSX:

  1. CVE-2025-22243 – En lagrad XSS-sårbarhet i NSX Manager UI på grund av bristfällig inmatningsvalidering. En angripare med behörighet att skapa eller modifiera nätverksinställningar kan injicera skadlig kod som exekveras när nätverksinställningarna visas. Denna sårbarhet har en CVSSv3-baspoäng på 7.5 och klassificeras som viktig.
  2. CVE-2025-22244 – En lagrad XSS-sårbarhet i gateway-brandväggen på grund av bristfällig inmatningsvalidering. En angripare med åtkomst att skapa eller modifiera svarssidor för URL-filtrering kan injicera skadlig kod som exekveras när en annan användare försöker komma åt den filtrerade webbplatsen. Denna sårbarhet har en CVSSv3-baspoäng på 6.9 och klassificeras som måttlig.
  3. CVE-2025-22245 – En lagrad XSS-sårbarhet i routerporten på grund av bristfällig inmatningsvalidering. En angripare med behörighet att skapa eller modifiera routerportar kan injicera skadlig kod som exekveras när en annan användare försöker komma åt routerporten. Denna sårbarhet har en CVSSv3-baspoäng på 5.9 och klassificeras som måttlig.

Påverkade produkter och åtgärder

Följande produkter påverkas av dessa sårbarheter

  • VMware NSX versioner 4.0.x till 4.2.x
  • VMware Cloud Foundation versioner 5.0.x till 5.2.x
  • VMware Telco Cloud Platform versioner 3.x till 5.x

För att åtgärda dessa sårbarheter rekommenderas det att uppdatera till följande versioner:

  • VMware NSX 4.2.2.1
  • VMware NSX 4.2.1.4
  • VMware NSX 4.1.2.6
  • För VMware Cloud Foundation och VMware Telco Cloud Platform, tillämpa asynkrona patchar enligt instruktionerna i KB-artiklarna KB88287 och KB396986.

Det finns inga kända lösningar eller tillfälliga åtgärder för dessa sårbarheter, vilket gör det avgörande att tillämpa de tillgängliga uppdateringarna så snart som möjligt.

Rekommendationer

  • Granska och uppdatera till de angivna versionerna för att säkerställa att systemen är skyddade mot dessa sårbarheter.
  • Implementera säker kodgranskning och inmatningsvalidering för att förhindra liknande sårbarheter i framtiden.
  • Övervaka systemloggar för ovanlig aktivitet som kan indikera försök till utnyttjande av dessa sårbarheter.

För mer detaljerad information och nedladdning av uppdateringar, besök Broadcoms officiella säkerhetsrådgivning: .

Genom att vidta dessa åtgärder kan organisationer stärka sin säkerhetsställning och skydda sina nätverksinfrastrukturer mot potentiella hot.

Posted on

Sårbarhet i VMware Tools

​Den 25 mars 2025 publicerade VMware en säkerhetsrådgivning, VMSA-2025-0005, som behandlar en autentiseringsförbigångssårbarhet (CVE-2025-22230) i VMware Tools för Windows. Denna sårbarhet har en CVSSv3-baspoäng på 7,8, vilket klassificeras som viktigt.​

Påverkade produkter:

  • VMware Tools versioner 11.x.x och 12.x.x som körs på Windows.​

Beskrivning av sårbarheten:

Sårbarheten beror på bristfällig åtkomstkontroll i VMware Tools för Windows. En illasinnad aktör med icke-administrativa rättigheter på en Windows-gäst-VM kan utnyttja denna brist för att utföra vissa högprivilegierade operationer inom den virtuella maskinen.​

Åtgärd:

För att åtgärda CVE-2025-22230 rekommenderas det att uppdatera till VMware Tools version 12.5.1. Denna uppdatering innehåller nödvändiga patchar för att eliminera sårbarheten. Notera att VMware Tools 12.4.6, som ingår i VMware Tools 12.5.1, adresserar problemet för Windows 32-bitars system.​

Workarounds:

Det finns inga kända workarounds för denna sårbarhet.​

Påverkade plattformar:

  • Windows: Påverkas och bör uppdateras till version 12.5.1.​
  • Linux och macOS: Påverkas inte av denna sårbarhet.​

Rekommendation:

Administratörer som hanterar VMware-miljöer bör omedelbart uppdatera VMware Tools för Windows till version 12.5.1 för att skydda sina system mot potentiella angrepp som utnyttjar denna sårbarhet.