Secondo quanto riportato da The Register, alcuni clienti VMware non riescono ad accedere alle patch di sicurezza, pur utilizzando versioni ancora supportate del software. È questa la situazione che si è venuta a creare dopo l’acquisizione dell’azienda da parte di Broadcom, che ha imposto un nuovo modello commerciale basato esclusivamente su abbonamenti lasciando fuori chi possiede licenze perpetue ma non ha rinnovato un contratto di supporto.

Il problema riguarda molti utenti che continuano a usare vSphere e altri prodotti VMware tuttora aggiornati e teoricamente supportati. Tuttavia, senza un abbonamento attivo, questi clienti si trovano bloccati nell’accesso alle patch, comprese quelle di sicurezza che correggono vulnerabilità critiche.

Nell’aprile 2024, l’amministratore delegato di Broadcom, Hock Tan, aveva cercato di rassicurare la base utenti, affermando pubblicamente che l’azienda avrebbe garantito “accesso gratuito alle patch di sicurezza zero-day per le versioni supportate di vSphere”, in modo che anche i titolari di licenze perpetue potessero continuare a usare i propri sistemi in modo sicuro.

Una promessa che però, ad oggi, non sembra essere stata mantenuta nei fatti. Alcuni utenti hanno infatti raccontato a The Register di non riuscire a scaricare le patch neanche dopo essersi autenticati nel portale di supporto Broadcom. Un cliente ha mostrato uno screenshot di una conversazione con il supporto tecnico VMware, in cui si legge chiaramente che potrebbero volerci fino a 90 giorni prima che le patch diventino accessibili per chi non ha una sottoscrizione attiva.

Una portavoce di VMware ha confermato questa limitazione, spiegando che “solo i clienti con un diritto attivo (entitlement) possono accedere alle patch tramite il nostro portale di supporto”. La stessa portavoce ha anche aggiunto che sarà predisposto un ciclo di distribuzione separato delle patch per i clienti non abbonati, ma senza specificare date o tempi certi.

Alcuni dei miglioramenti di prestazioni e costi di VMware VCF 9.0 dichiarati da Broadcom

Alcuni dei miglioramenti di prestazioni e costi di VMware VCF 9.0 dichiarati da Broadcom

Un rischio reale per la sicurezza

La situazione è tutt’altro che irrilevante. VMware è frequentemente nel mirino degli attacchi proprio per il suo ruolo centrale nelle infrastrutture virtualizzate di migliaia di aziende e istituzioni pubbliche. Solo nel 2025, l’azienda ha pubblicato undici advisory di sicurezza, tra cui uno recente che segnalava una vulnerabilità critica che consente a un utente malintenzionato con privilegi di amministrazione su una macchina virtuale di eseguire codice direttamente sull’host fisico. Si tratta di uno degli scenari peggiori in un ambiente virtualizzato.

L’impossibilità di accedere rapidamente alle patch espone quindi una vasta base installata a rischi elevatissimi, nonostante i prodotti in uso siano ancora tecnicamente supportati. Il nodo cruciale è che Broadcom ha vincolato l’accesso alle patch al possesso di un abbonamento attivo, violando, secondo alcuni, lo spirito delle licenze perpetue.

Emblematica è la vicenda della Rijkswaterstaat (RWS), l’agenzia esecutiva del Ministero delle Infrastrutture e della Gestione delle Acque dei Paesi Bassi. Cliente VMware da oltre 15 anni, RWS utilizzava licenze perpetue e si è rifiutata di passare al nuovo modello a sottoscrizione, sostenendo che i costi sarebbero aumentati dell’85% per continuare a ricevere gli stessi servizi.

La disputa è finita in tribunale dove un giudice ha dato ragione a RWS, ordinando a Broadcom di continuare a fornire supporto per almeno due anni, nonostante l’assenza di un contratto di sottoscrizione. Un caso che potrebbe fare giurisprudenza, soprattutto in Europa, dove le autorità pubbliche sono vincolate a budget rigidi e non sempre possono accettare modifiche unilaterali dei contratti da parte dei fornitori.

La strategia di Broadcom sembra quindi orientata a forzare il passaggio degli utenti verso il modello a sottoscrizione, anche a costo di limitare la sicurezza di chi ha investito per anni nella piattaforma VMware. Ma questa forzatura rischia di ritorcersi contro l’azienda, considerando che partner storici come Telefónica Germany hanno già abbandonato il supporto diretto VMware, affidandosi a terzi come Spinnaker per ridurre i costi.

In parallelo, competitor come Citrix stanno rientrando sul mercato degli hypervisor, approfittando del malcontento crescente nella comunità IT. Anche se il nuovo prodotto Citrix non è ancora completamente maturo, la finestra di opportunità è concreta, perché molti clienti VMware stanno cercando alternative sostenibili.

(Immagine in apertura: Shutterstock)