Основные компании, входящие в Samsung Group, начали искать альтернативы VMware в связи со значительным ростом цен на продукты последней, причём ПО, похоже, будут дорожать и дальше, передаёт ETNews. Как сообщают источники издания, Samsung Electronics, Samsung Display и другие подразделения Samsung Group уже реализуют либо готовятся к реализации проектов по постепенному отказу от VMware.

Так, Samsung Electronics рассматривает альтернативные варианты с прошлого года. При этом компания не намерена немедленно отказываться от продуктов, пока заключён контракт на закупку ПО на сумму ₩40 млрд (около $29 млн). Параллельно компания участвует в проектах по разработке open source ПО. Цель состоит в том, чтобы разработать облачную среду, избегая коммерческих инструментов вроде продуктов VMware. Привлечены специалисты по виртуализации и облачным технологиям. В 2026 году будут определены направление и масштаб внедрения новых продуктов.

Samsung Electronics намерена самостоятельно создать частное облако. Для работы над ним привлекут как сотрудников самой Samsung, так и специализированные компании. Проект планируется завершить в течение года. Samsung Display также готовит проект снижения зависимости от VMware. Компании Samsung Group являются одними из крупнейших заказчиков VMware в Южной Корее. Однако смена политики VMware привела к росту цен, так что дочерние структуры Samsung Group посчитали затраты слишком высокими в сравнении с выгодами от использования VMware.

Источник изображения: Broadcom

В 2023 году VMware была куплена Broadcom, а в 2024-м компания повысила цены на свою продукцию. По мнению экспертов, в ближайшие два-три года цена может значительно увеличиться в сравнении с текущей. Уже есть примеры пятикратного роста стоимости лицензий и обслуживания. Утверждается, что цены будут формироваться в индивидуальном порядке. Кроме того, постоянно меняются условия сделок.

Есть претензии и к политике продаж. Флагманский продукт VMware Cloud Foundation (VCF) включает ПО для виртуализации, сетевые решения и решения для хранения данных единым пакетом. При этом многим корейским компаниям нужны только продукты для виртуализации, а переплачивать за ненужные продукты они не хотят. По словам одного из источников, большинство крупных компаний, включая производственные и финансовые, ускорят движение к отказу от VMware.

Немецкое подразделение телекоммуникационной компании Telefónica решило отказаться от услуг Broadcom после того, как та объявила стоимость продления контракта — она оказалась впятеро выше той, что была ранее, пишет The Register. В результате Telefónica Germany обратилась к услугам Spinnaker Support и запланировала отказ от продуктов VMware.

Telefónica Germany в основном полагалась на бессрочные лицензии vSphere, регулярно продлевая контракты на обслуживание и другую поддержку. Однако Broadcom после покупки VMware отказалась от бессрочных лицензий и теперь предлагает пакеты подписки, включающие как ПО, так и поддержку. Так, VMware Cloud Foundation (VCF) включает vSphere, vSAN, NSX и пр. решения для создания полноценного частного облака. В результате стоимость предложения зачастую оказывается значительно выше прежних тарифов, поскольку не всем заказчикам нужен полный набор инструментов.

«Они заявили, что мы ценный клиент, а затем запросили сумму, которая была в пять раз выше ожидаемой», — рассказал The Register Хольгер Берндт (Holger Berndt), руководитель отдела управления программными активами в Telefónica Germany. Он отметил, что компании не нужны все компоненты VCF, только vSphere 7.0/8.0. По словам Берндта, за последние три года на продукты VMware ушло примерно €5–€8 млн. Broadcom направила своё предложение в августе, а текущие лицензии истекали в конце года, так что у Telefónica Germany было время на раздумья.

Источник изображения: U. Storsberg/unsplash.com

Поскольку к тому моменту компания уже пару лет пользовалась услугами Spinnaker Support по сопровождению ПО Oracle, выбор был очевиден. Тем не менее, Telefónica провела комплексную проверку и сравнила несколько предложений на рынке. Сейчас компания использует 8752 ВМ на 660 серверах. «Мы и не думали отказываться от VMware, пока не получили от Broadcom новое предложение. То, что они делают сейчас, неприемлемо: они говорят вам, что вы один из ценных клиентов, а потом так поступают», — сказал он. Теперь же компания планирует начать миграцию с продуктов VMware в конце 2026 года.

Spinnaker Support начала развивать направление поддержки решений VMware в 2024 году. С тех пор круг её клиентов заметно расширился, чему способствовало отсутствие гибкости Broadcom, с достойным лучшего применения упорством продвигающей модель подписки и навязывающей клиентам ненужные услуги. Иногда дело доходит до суда. Так, нидерландское государственное агентство Rijkswaterstaat (RWS) выиграло дело против Broadcom. Суд обязал VMware продолжать оказывать агентству поддержку в период миграции на альтернативную платформу после того, как оно отклонило новую схему лицензирования по подписке и связанные с этим повышенные расходы.

В своём выступлении на конференции HPE Discover 2025 глава HPE Антонио Нери (Antonio Neri, на фото ниже) коснулся вопросов лицензирования решения Morpheus VM Essentials и инструментов для него, пишет ServeTheHome. Это решение было создано HPE после приобретения Morpheus Data путём объединения функций Morpheus со своим собственным предложением виртуализации на основе KVM с целью привлечения клиентов VMware, недовольных лицензионной политикой Broadcom.

Решение Morpheus VM Essentials предназначено для тех, кто находится в начале миграции с VMware, хотя HPE всячески старается не упоминать название данного продукта Broadcom. Далее клиенты могут воспользоваться версией Morpheus VM Enterprise, также им будут предложены конфигурации HPE Private Cloud.

Источник изображений: HPE

HPE имеет ряд инструментов профилирования и калькуляторы стоимости, которые помогают клиентам рассчитывать экономию затрат благодаря переносу рабочих нагрузок в Morpheus. В версии Enterprise можно сравнивать различные опции хостинга для определённого типа машин в разных публичных облаках и собственных ЦОД.

Говоря о лицензировании следует отметить тот факт, что у HPE Morpheus Essentials меньше возможностей, пишет ServeTheHome. Например, клиент можете управлять только локальными кластерами виртуализации на базе Morpheus KVM и кластерами VMware через интеграцию с vCenter. Говорить об этом можно скорее как о замене небольших развёртываний VMware с немногочисленными серверами с ESXi под управлением vCenter. Однако преимущество заключается в том, что это решение намного дешевле по сравнению с VMware.

Как сообщили в компании ресурсу ServeTheHome, цена решения Essential по прейскуранту составляет около $600 за сокет, а полная версия Enterprise — порядка $2500 за сокет. Это ключевое преимущество HPE, поскольку стоимость лицензий VMware после появления AMD EPYC стала рассчитываться исходя из количества ядер. А после поглощения Broadcom продукты и вовсе стали предлагаться исключительно по подписке.

Broadcom объявила о выходе платформы VMware Cloud Foundation (VCF) 9.0, которая предоставляет клиентам согласованную операционную модель для частного облака, охватывающую ЦОД, периферию и управляемую облачную инфраструктуру. VCF 9.0 сочетает в себе гибкость и масштабируемость публичных облаков с безопасностью, производительностью, архитектурным контролем и низкой совокупной стоимостью владения (TCO) локальных сред.

VCF 9.0 является единой унифицированной платформой с поддержкой традиционных, современных и ИИ-приложений, говорит компания. Согласованные операции, управление и контроль в среде частного облака, а также возможность самообслуживания позволяет разработчикам сосредоточиться на своих приложениях, а не на инфраструктуре. Именно для этого при создании VCF 9.0 была выбрана совершенно новая архитектура.

VCF 9.0 получила унифицированный интерфейс для администраторов облака, обеспечивающий целостное представление о его работе. Новое приложение Quick Start значительно сокращает время и сложность настройки. Встроенные политики управления и предварительно настроенные шаблоны помогают поддерживать соответствие требованиям всем развёртываниям, сокращая ручные задачи и гарантируя повторяемость инфраструктуры. Разработчики получают доступ к автоматизированным и эластичным самообслуживаемым IaaS.

Источник изображений: Broadcom

Встроенная службы vSphere Kubernetes Service (VKS) позволяет одинаково работать как с виртуальными машинами (ВМ), так и с контейнерами. Унифицированный подход позволяет клиентам создавать, развёртывать и запускать контейнеризированные и виртуализированные рабочие нагрузки вместе, снижая потребность в сложных стеках DevOps и интеграциях.

VCF 9.0 предлагает явные преимущества в плане прогнозируемости и прозрачности затрат по сравнению с публичным облаком, позволяя организациям получить полное представление о совокупной стоимости владения и обеспечивая чёткую видимость рентабельности инвестиций в инфраструктуру, говорит Broadcom.

Ключевой особенностью VCF 9.0 является и новая панель управления SecOps, обеспечивающая консолидированное представление безопасности платформы и управления данными, включая интегрированные политики соответствия и нормативные ограничения для согласованного управления. VMware vDefend обеспечивает встроенное обнаружение и реагирование на угрозы, микросегментацию на уровне зон и приложений, сокращение поверхности атак и принудительное применение принципа нулевого доверия в VCF. vDefend расширяет возможности как администраторов инфраструктуры, так и владельцев VPC, оптимизирует миграцию и обеспечивает последовательное предотвращение угроз в многоэкземплярных развёртываниях VCF.

Обновления коснулись и подсистем хранения и сетей. Расширенное многоуровневое хранение для NVMe позволяет обеспечить снижение до 38 % совокупной стоимости владения, а VMware vSAN ESA с Global Dedupe позволяет на 34 % снизить совокупную стоимость владения хранилищем. Новая защита данных vSAN-to-vSAN с «глубокими» снапшотами обеспечивает более эффективное восстановление после сбоев или атак программ-вымогателей. VCF обеспечивает практически нулевую потерю производительности по сравнению с bare metal, поддерживая при этом vMotion без простоев для рабочих ИИ-нагрузок.

VMware Live Recovery обеспечивает унифицированное управление кибер- и аварийным восстановлением во всех развертываниях VCF с повышенным суверенитетом данных за счёт локальных изолированных сред восстановления. Поддерживает до 200 неизменяемых снапшотов на ВМ и обеспечивает более эффективное масштабирование за счёт возможности расширения хранилища независимо от вычислений с помощью кластеров хранения vSAN. Наконец, в VMware NSX обеспечен трёхкратный рост производительности коммутации

VMware Private AI Foundation с NVIDIA повышает кибербезопасность, позволяя развернуть облаки с поддержкой изоляции (air gap) и GPU-as-a-Service. В службе также появилась видимость профилей vGPU и новые инструменты мониторинга (v)GPU. А Model Runtime упрощает использование и масштабирование ИИ-моделей, в то время как Agent Builder Service обеспечивает более эффективное создание ИИ-агентов.

VMware Data Services Manager (DSM) предлагает поддержку PostgreSQL и MySQL с Microsoft SQL Server в Tech Preview. Интеграция с VCF Automation позволяет ИТ-отделам предоставлять DBaaS, а дополнительные усовершенствования повышают эффективность для управления большими парками баз данных.

Еще одним ключевым обновлением является интеграция балансировщика нагрузки VMware Avi с VMware Cloud Foundation (VCF) 9.0. Он обеспечивает единую облачную операционную модель для балансировки по всем рабочим нагрузкам, предлагает plug-and-play балансировку для ВМ и Kubernetes, а также единый API для администраторов и разработчиков инфраструктуры.

Компания Hewlett Packard Enterprise (HPE) объявила о новых предложениях, направленных на упрощение модернизации гибридных ИТ-решений, а также повышение киберустойчивости, доступности данных и энергоэффективности для клиентов, использующих хранилища.

В августе прошлого года HPE завершила приобретение создателя облачной платформы управления Morpheus Data, который поставлял ПО, используемое в подписных предложениях HPE GreenLake. Компания объединила функции Morpheus со своим собственным предложением виртуализации на основе KVM для создания VM Essentials в стремлении привлечь клиентов VMware, недовольных политикой Broadcom. Решение может работать автономно или на собственных системах HPE и позволяет управлять не только виртуальными машинами HPE, но и традиционными (VMware) ВМ.

Источник изображений: HPE

Следующим шагом стало объявление об интеграции HPE Morpheus VM Essentials с HPE Private Cloud Business Edition, что позволяет снизить до 90 % стоимость лицензий на ВМ с поддержкой нескольких гипервизоров и самостоятельным потреблением облачных ресурсов. Эта экономия добавляется к предполагаемому снижению совокупной стоимости владения (TCO) в 2,5 раза, обеспечиваемому дезагрегированной гиперконвергентной инфраструктурой (dHCI). HPE Private Cloud Business Edition, доступная в формате dHCI или HCI, предоставляет организациям гибкость в выборе оптимальной архитектуры для рабочих нагрузок ВМ как на периферии, так и в ЦОД, говорит HPE.

Семейство ПО HPE Morpheus, включающее решения HPE Morpheus VM Essentials для виртуализированных рабочих нагрузок и HPE Morpheus Enterprise Software для унифицированного управления облаками, теперь находится в открытом доступе. Обе версии включают гипервизор HVM от HPE и лицензируются по сокетам для снижения совокупной стоимости владения. Клиенты VM Essentials также смогут перейти на полную версию HPE Morpheus Enterprise.

Как сообщает компания, решение VM Essentials разработано для глобального развёртывания и поддерживается комплексными корпоративными службами, охватывающими всё, от инфраструктуры до рабочих нагрузок. При этом используется ИИ на всех этапах — от настройки до эксплуатации. С его помощью HPE автоматизирует настройку инфраструктуры и управление жизненным циклом платформы Business Edition. Возможности AIOps позволяют прогнозировать и предотвращать до 86 % операционных проблем, высвобождая ИТ-ресурсы, а также повышая производительность и надежность.

Ресурс Blocks & Files отметил, что софт Morpheus Enterprise позволяет ИТ-отделу клиента стать внутренним поставщиком ИТ-услуг. Он имеет графический интерфейс и API, поддерживает подход инфраструктура-как-код или подключаемые модули ITSM, и позволяет управлять как собственными средами KVM и Kubernetes HPE, так и другими приложениями на физическом, локальном и публичном облачных ресурсах.

Продукт не зависит от гипервизора, оборудования и облака и интегрируется с окружающими наборами инструментов, такими как ServiceNow, DNS, системами резервного копирования и инструментами оркестрации задач для сквозного управления зависимостями приложений (end-to-end). HPE утверждает, что он ускоряет подготовку нагрузок до 150 раз, сокращает расходы на облако до 30 % и снижает риски за счёт детального управления доступом на основе ролей (RBAC). Commvault станет первым партнером экосистемы VM Essentials, который будет поддерживать резервное копирование и восстановление виртуальных машин на основе образов с предстоящим релизом в мае.

Morpheus Enterprise и VM Essentials недавно были протестированы для работы на серверах Dell PowerEdge и массивах NetApp AFF, а также на серверах HPE ProLiant Compute Gen11 и Gen12. По данным HPE, комбинация VM Essentials и HPE Aruba Networking CX 10000 снижает совокупную стоимость владения до 48 %, увеличивает производительность до 10 раз, обеспечивает микросегментацию, ускорение благодаря DPU и повышенную безопасность. VM Essentials также обеспечивает простое, детализированное управление хранилищем HPE Alletra Storage MP B10000.

HPE Advisory and Professional Services также теперь предлагает услуги модернизации виртуализации с аналитикой затрат, инструментами миграции, схемами оркестрации и интеграцией конвейера DevOps. HPE Services предоставляет специализированную оценку, комплексный процесс для создания надёжных зон посадки, а также услуги по перенастройке рабочих нагрузок, модернизации инфраструктуры, миграции данных, обучению членов команды и управлению инфраструктурой для снижения накладных расходов.

ПО Morpheus Enterprise уже доступно как отдельное ПО и в составе HPE Private Cloud Business Edition с Morpheus VM Essentials. Новые системы Business Edition с HPE SimpliVity будут доступны в III квартале. Интеграция ПО Morpheus для Alletra Storage MP B10000 доступна уже сейчас, для HPE Aruba Networking CX 10000 — в июне.

В этом месяце Broadcom известила клиентов о том, что больше не будет продлевать контракты на поддержку продуктов VMware, приобретённых на основе бессрочных лицензий, и что поддержка будет продолжаться только для тех, кто перешёл на подписку VMware, пишет ресурс Computer Weekly.

Напомним, что при переходе на подписку VMware параллельно с отказом от заключения контрактов по бессрочному лицензированию ПО компания Broadcom обещала, что VMware «продолжит оказывать поддержку в соответствии с договорными обязательствами» клиентам с бессрочными лицензиями и действующими контрактами на поддержку. Отказ от продления контрактов означает прекращение поддержки таких клиентов. Учитывая значительное присутствие VMware в корпоративных среде, многие организации сталкиваются с проблемой поддержания безопасности среды виртуализации по доступной цене.

12 мая Broadcom выпустила рекомендации по безопасности, касающиеся некоторых своих продуктов VMware. В них сообщается об уязвимости CVE-2025-22249, которая влияет на набор инструментов Aria, отмеченной как критическая, и CVE-2025-22247, которая влияет на VMware Tools и классифицируется как уязвимость с умеренным риском. Компания выпустила исправления для VMware Aria 8.18.x и VMware Tools 11.x.x и 12.x.x, но не предоставила никаких альтернативных путей защиты (workaround).

Источник изображения: VMware

Как полагают отраслевые эксперты, отсутствие доступа к исправлениям и хоть какого-то способа защититься для клиентов, использующих бессрочные лицензии VMware, может быть истолковано как косвенное давление со стороны Broadcom с целью перевести таких клиентов на подписку.

Platform9, конкурент VMware, напомнила в открытом письме о том, что когда Broadcom перешла с «вечных» лицензий VMware на подписки, она заверила клиентов, что переход не повлияет на возможность клиентов использовать свои существующие бессрочные лицензии. «На прошлой неделе это обещание было нарушено. Многие из вас сообщили о получении от Broadcom предписаний о прекращении использования бессрочных лицензий VMware. В этих письмах содержится требование удалить/деинсталлировать патчи и исправления ошибок, которые вы, возможно, используете», — отметила Platform9.

В письме также указано, что клиенты VMware с бессрочными лицензиями получают только исправления безопасности «нулевого дня». «Обычные исправления безопасности, багов и мелкие исправления можно использовать только в том случае, если вы оплатите подписку», — сообщила Platform9. Без доступа к патчам компании клиенты VMware, которые для сопровождения решили воспользоваться услугами сторонних компаний, должны полагаться на workaround'ы, которых теперь нет. Впрочем, такие компании пытаются найти способы защитить клиентов от возможных атак.

Нередко бывает так, что патч и не требуется, а всё дело в некорректной конфигурации платформы. Незащищённые инстансы с доступом из Сети или простой пароль администратора представляют гораздо большую угрозу, чем отсутствие одного обновления. Сторонние сервисы поддержки могут проводить упреждающие проверки, анализируя состояние безопасности в организации в целом. Кроме того, для некоторых инструментов VMware есть открытые альтернативы.

Broadcom возобновила выпуск бесплатных версий VMware vSphere Hypervisor, распространение которых она прекратила в 2024 году в рамках изменения бизнес-модели VMware после её поглощения. В примечаниях к релизу апдейта VMware ESXi 8.0 Update 3e сообщается, что эту версию гипервизора начального уровня можно бесплатно скачать на сайте службы поддержки Broadcom и установить для ознакомительных целей.

Для загрузки гипервизора нужно на странице портала поддержки перейти в раздел VMware vSphere Hypervisor, где необходимо выбрать именно Release 8.0U3e. После этого можно будет скачать ISO, приняв условия использования гипервизора. Также может потребоваться обновить контактную информацию, чтобы получить доступ к загрузке. Впрочем, тем, кому нужен был продукт такого класса, наверняка уже нашли подходящее бесплатное решение и перенесли на него свои нагрузки.

Источник изображения: Broadcom

Всего Broadcom после поглощения VMware закрыла более 50 продуктов, в том числе бесплатных. Впрочем, VMware Fusion Pro и Workstation Pro, например, наоборот стали бесплатными. Однако в целом резкая смена лицензионной политики и её серьёзное ужесточение — в частности, увеличение минимального количество ядер для лицензирования с 16 до 72 шт. — побуждают мелких и средних клиентов искать альтернативы. Gartner даже отмечает, что такая политика запустила процессы девиртуализации и ревиртуализации.

Ряд европейских технологических организаций, по сообщению ресурса ITPro, объединили усилия с целью создания суверенной облачной платформы, призванной обеспечить переносимость и совместимость между сервисами различных поставщиков облачных услуг. Проект получил название Virt8ra.

В инициативе принимают участие Arsys, BIT, Гданьский политехнический университет (Gdańsk Tech), Infobip, IONOS, Kontron, Mondragon и Oktawave, а координатором выступает OpenNebula Systems. Вычислительные мощности и ресурсы хранения данных планируется предоставлять во многих странах Евросоюза, включая Хорватию, Нидерланды, Польшу, Германию, Словению и Испанию.

«Благодаря этому сотрудничеству мы вносим вклад в укрепление цифрового суверенитета Европы и стимулируем инновации на всём континенте», — отметил Йоже Орехар (Jože Orehar), руководитель подразделения облачных платформ Kontron.

Virt8ra является частью масштабной программы IPCEI-CIS (Important Project of Common European Interest on Next Generation Cloud Infrastructure and Services) — это европейский проект развития облачной инфраструктуры и услуг следующего поколения. Инициатива, одобренная Европейской комиссией в декабре 2023 года, поддерживается 12 государствами — членами ЕС. Проект направлен на стимулирование исследований и увеличение инвестиций в технологии периферийных и облачных вычислений в ЕС, а также на создание децентрализованной периферийной инфраструктуры.

Источник изображения: OpenNebula Systems

В рамках Virt8ra более 30 европейских компаний разрабатывают стек ПО с открытым исходным кодом для виртуализации. Целью является создание надёжной системы для управления цифровыми инфраструктурами, которая предоставит европейским предприятиям и государственным организациям улучшенную гибкость, технологический суверенитет и возможность получить полный контроль над своими IT-средами без ограничений, связанных с действующими моделями лицензирования и поддержки.

Инфраструктура Virt8ra рассматривается как способ снижения зависимости компаний и госструктур Евросоюза от гиперскейлеров и облачных провайдеров из США. Текущая версия платформы поддерживает централизованное управление физическими ресурсами, виртуальными машинами и кластерами Kubernetes, а также обеспечивает возможность миграции, что позволяет клиентам развёртывать, запускать и переносить приложения между разными регионами и поставщиками облачных услуг.

Стриминговый гигант Netflix подал в понедельник иск к Broadcom в окружной суд США по Северному округу Калифорнии с обвинением принадлежащего ей дочернего предприятия VMware в нарушении пяти патентов, связанных с работой виртуальных машин («патент 424», «патент 707», «патент 891», «патент 893» и «патент 122»).

Как сообщает SiliconANGLE, три из этих патентов касаются использования CPU в виртуальных машинах, а два — запуска по крайней мере одной виртуальной машины с использованием балансировщика нагрузки. Согласно иску, нарушения патентов были допущены в VMware vSphere Foundation, VMware Cloud Foundation, VMware Cloud on AWS и облачных решениях, предлагаемых Microsoft, Google, Oracle, IBM и Alibaba.

В частности, в вышеуказанных продуктах, по словам Netflix, допущены нарушения «патента 424». Netflix заявил, что VMware умышленно нарушает авторские права с 2012 года, когда она узнала об этом патенте. «Патент 424 был процитирован экспертом Бюро по патентам и товарным знакам США при отклонении заявки VMware, которая в конечном итоге была оформлена как патент США № 8 650 564», — указал Netflix в иске.

Источник изображения: Broadcom

Учитывая осведомлённость VMware об этом патенте, Netflix утверждает, что Broadcom и VMware занимались «умышленным нарушением», и попросила суд обязать Broadcom возместить убытки, размер которых в иске не указан.

Патентная война Netflix и Broadcom началась в 2018 году, когда Broadcom подала в суд на Netflix, обвинив его в нарушении своих патентов на технологию потокового видео. Дела были возбуждены в Калифорнии, Германии и Нидерландах. Судебное разбирательство по иску Netflix запланировано на июнь 2025 года.

Исследователи Лёвенского католического университета (Бельгия), Любекского университета (Германия) и Бирмингемского университета (Великобритания) обнаружили, что система защиты виртуальных машин от атак с использованием вредоносного гипервизора AMD SEV-SNP (Secure Nested Paging), не так безопасна, как утверждает разработчик, пишет The Register.

Технологии Secure Encrypted Virtualization (SEV) предоставляют доверенную среду исполнения (TEE), призванную обеспечить защиту виртуальных машин от незаконных попыток вмешательства со стороны тех, кто имеет доступ к оборудованию ЦОД. Механизм SEV-SNP реализован в процессорах AMD EPYC, начиная с 7003 (Milan). Аналогичные механизмы есть и у конкурентов: Intel Software Guard Extensions (SGX) и Trusted Domain Extensions (TDX), а также Arm Confidential Compute Architecture (CCA). Все эти технологии отвечают за шифрование памяти и изоляцию ресурсов.

Исследователи разработали способ обхода SEV-SNP, который они назвали BadRAM (CVE-2024-21944 и AMD-SB-3015). Для атаки требуется оборудование стоимостью около $10, включая Raspberry Pi Pico, разъём DDR и батарею на 9 В. Атака BadRAM требует наличие физического доступа к оборудованию. Она основана на манипуляциях с чипом SPD (Serial Presence Detect), который передаёт данные о модуле DDR4/DDR5 во время загрузки системы. Манипулируя SPD, злоумышленники создают адреса-фантомы для физической памяти, благодаря которым можно незаметно получить доступ к данным в виртуальной машине.

Источник изображения: badram.eu

«Мы удваиваем видимый в системе объём DIMM, чтобы обмануть контроллер памяти CPU и заставить его использовать дополнительные «фантомные» биты адресации, — объясняют авторы исследования. — Два разных физических адреса теперь ссылаются на одно и то же местоположение DRAM». С помощью таких фантомов злоумышленники могут обойти защиту памяти, раскрывая конфиденциальные данные или вызывя сбои. BadRAM позволяет подделать критически важные отчёты удалённой аттестации и вставлять необнаруживаемые бэкдоры в любую виртуальную машину, защищённую SEV-SNP.

Атака может быть реализована и без физического доступа к оборудованию, поскольку некоторые поставщики DRAM оставляют чип SPD разблокированным, что противоречит спецификациям JEDEC. Авторы исследования обнаружили по крайней мере два DDR4-модуля Corsair без должной защиты SPD. Память DDR3 тоже может быть взломана путём замены чипа SPD.

Источник изображения: badram.eu

«BadRAM полностью подрывает доверие к технологии защищённой зашифрованной виртуализации AMD (SEV-SNP), которая широко используется крупными поставщиками облачных услуг, включая Amazon AWS, Google Cloud и Microsoft Azure», — сообщил The Register Джо Ван Балк (Jo Van Bulck), профессор лаборатории DistriNet на кафедре компьютерных наук KU Leuven.

Исследователи отметили, что решения SGX и TDX Intel не имеют такой уязвимости, поскольку в них реализованы контрмеры против создания псевдонимов (alias) памяти. Arm CCA, судя по спецификации, тоже не имеет проблем, но для проверки этого у исследователей не было коммерческих чипов. Полный доклад об атаке исследователи планируют представить в мае 2025 года на конференции IEEE Symposium on Security and Privacy.

Источник изображения: AMD

Исследователи уведомили AMD о найденных проблемах в феврале 2024 года. «AMD рекомендует использовать модули памяти, которые блокируют SPD, а также следовать передовым практикам в области физической безопасности систем. AMD также выпустила обновления прошивок защиты от уязвимости», — сообщили в AMD ресурсу The Register в ответ на просьбу прокомментировать публикацию исследователей.