Desde a aquisição da VMware pela Broadcom, a situação para os clientes com licenças perpétuas mudou drasticamente. O que antes era um modelo de negócio previsível, no qual uma empresa podia pagar uma única vez por uma licença e receber atualizações de segurança essenciais, agora se tornou uma armadilha corporativa. Se não houver um contrato de suporte ativo, não é possível baixar patches de segurança, mesmo para vulnerabilidades críticas.
Segurança em risco: Se você não pagar, não é protegido
Essa mudança de política é especialmente alarmante considerando as recentes vulnerabilidades críticas descobertas no VMware ESXi. A Broadcom confirmou várias falhas de segurança em março de 2025, algumas das quais já estão sendo ativamente exploradas por atacantes:
🔴 CVE-2025-22224 (CVSS 9.3, Crítico) – Permite que um atacante com acesso a uma máquina virtual execute código no hipervisor host.
🟠 CVE-2025-22225 (CVSS 8.2, Importante) – Possibilita a escrita arbitrária no kernel, o que pode resultar em um escape do ambiente virtualizado.
🟡 CVE-2025-22226 (CVSS 7.1, Importante) – Vazamento de memória do processo VMX do ESXi, que pode ser utilizado em ataques avançados.
Qualquer uma dessas vulnerabilidades representa um risco iminente para infraestruturas virtualizadas, uma vez que podem permitir a execução de ransomware ou acessos não autorizados ao sistema. Entretanto, a Broadcom tomou a decisão de restringir o acesso aos patches de segurança, exigindo que os clientes com licenças perpétuas renovem seu contrato de suporte antes de poderem baixá-los.
Testemunho real: A resposta da Broadcom
Para confirmar esse problema, tentamos obter o patch de segurança para uma instalação de VMware ESXi 6.7, uma versão amplamente utilizada nas empresas que, embora antiga, continua funcional. O resultado foi o seguinte intercâmbio com o suporte da Broadcom:
🗣 Pergunta: Como podemos baixar o patch de segurança para uma instalação de VMware ESXi 6.7 com licença perpétua?
🖥 Resposta do agente da Broadcom:
"Após uma investigação adicional, o contrato da chave de licença no ID do site XXXXXXX expirou em 23 de janeiro de 2025. Para baixar o patch, o contrato da chave de licença precisa ser renovado. Além disso, a versão atual da chave de licença está na versão 7, portanto, nas futuras renovações, é necessário rebaixar a chave para a versão 6 para poder baixar o patch de 6.7."
Ou seja, mesmo que um cliente tenha pago por uma licença perpétua, não pode baixar patches de segurança se não tiver um contrato ativo. Neste caso, nem mesmo renovar o contrato é suficiente: é necessário fazer um pedido especial para "rebaixar" a licença a uma versão anterior.
O que implica essa mudança?
O que a Broadcom está fazendo com a VMware constitui um precedente perigoso no setor de software empresarial. Algumas das consequências mais alarmantes incluem:
1️⃣ Bloqueio de atualizações essenciais: Se você possui uma versão perpétua, não pode proteger sua infraestrutura sem pagar um contrato adicional.
2️⃣ Empurrão forçado para versões mais recentes: A Broadcom quer que todos migrem para vSphere 8, pressionando as empresas a atualizações que podem não estar preparadas para assumir.
3️⃣ Perigo para a cibersegurança: Sem patches de segurança, as versões antigas ficam expostas a ataques, aumentando os riscos para as empresas e seus dados.
4️⃣ Modelo de negócio abusivo: Antes, uma licença perpétua garantia acesso a correções de segurança. Agora, a Broadcom transformou isso em um modelo de assinatura disfarçado, eliminando a opção de operar um software seguro sem pagamentos contínuos.
Um mau precedente para a indústria
O caso da VMware é um exemplo claro de como a monopolização e aquisição de empresas tecnológicas podem prejudicar os clientes. Empresas e administradores de sistemas que confiavam na VMware para sua infraestrutura agora se veem diante de uma escolha difícil:
✔ Pagar contratos caros para acessar patches de segurança básicos.
✖ Continuar usando software vulnerável, expondo seus dados e sistemas a ataques.
🔄 Migrar para outro fornecedor de virtualização, o que implica um custo elevado em tempo e recursos.
O que podem fazer os usuários?
Se você é um dos afetados por essa nova política da Broadcom, considere as seguintes opções:
🔹 Explore alternativas de virtualização: Opções como Proxmox VE, KVM ou até mesmo Microsoft Hyper-V podem ser viáveis dependendo do seu ambiente.
🔹 Pressione a Broadcom e a VMware: Exponha o problema publicamente em fóruns, redes sociais e canais de suporte. Quanto mais pressão houver, maiores são as chances de a empresa reconsiderar sua política.
🔹 Avalie o impacto de não atualizar: Embora seja um risco de segurança, algumas organizações podem mitigar os problemas parcialmente com firewalls e segmentação de rede.
🔹 Entre em contato com distribuidores e fornecedores: Em alguns casos, distribuidores de licenças poderão ter opções para acessar patches sem um contrato direto com a Broadcom.
Conclusão
A mudança que a VMware deu sob a Broadcom coloca em risco as empresas que confiavam em seu modelo de licenças perpétuas. Bloquear o acesso a patches de segurança é irresponsável e perigoso, especialmente quando se trata de vulnerabilidades críticas já exploradas por atacantes.
A Broadcom transformou a segurança de seus clientes em uma mercadoria, forçando-os a pagar por aquilo que antes era um direito básico de qualquer usuário de software empresarial. Em um mundo onde as ameaças cibernéticas crescem a cada dia, essa decisão pode colocar em risco milhares de empresas e organizações que dependem da VMware.
Se a VMware e a Broadcom não reverterem essa política, a mensagem é clara: é hora de buscar alternativas antes que seja tarde demais.
