Proxmox 虚拟环境(Proxmox Virtual Environment)已成为企业构建私有云基础设施与虚拟机管理系统的热门选择。
然而,一项最新分析显示,一旦攻击者获得系统的初始访问权限,该虚拟化管理程序(Hypervisor)存在重大安全漏洞,可被攻击者利用实施攻击。
该研究曝光了一系列攻击向量,攻击者可借助这些向量在虚拟机间横向移动、窃取敏感数据,并维持持久控制,且不会触发传统安全告警。
这些漏洞的核心在于研究人员所称的 “依托虚拟化管理程序驻留(Living off the hypervisor) ” 技术 —— 即滥用 Proxmox 的合法工具与功能实施恶意行为。
与旨在检测外部威胁的安全措施不同,这些攻击手段利用的是系统管理员日常用于合法操作的内置功能,这使得攻击检测难度大幅增加。
Proxmox 对攻击者极具吸引力的原因在于其架构特性:与运行专用微内核的专有虚拟化管理程序不同,Proxmox 本质上是一个完整的 Debian Linux 发行版,仅在其上叠加了虚拟化工具。
这种架构融合形成了独特的攻击面—— 标准的 Linux 权限提升技术可与虚拟化管理程序专属功能相结合,而防御者通常未能对这些功能进行有效监控。
一旦攻击者攻陷 Proxmox 主机,理论上即可获得对该主机管理的所有虚拟机的访问权限。
安全工程师安迪・吉尔(Andy Gill)在其全面的技术研究中,识别并记录了这些攻击路径。
吉尔的分析表明,攻击者可绕过网络检测系统、在隔离的虚拟机内执行代码、从虚拟机内存与磁盘存储中窃取敏感信息,且上述行为均不会触发传统安全告警。
无网络痕迹的直接虚拟机执行
研究指出,QEMU 客户机代理(QEMU guest agent) 是一个尤其值得警惕的攻击向量。当虚拟机启用该客户机代理时(在虚拟机配置中显示为
agent: 1),虚拟化管理程序可直接在客户机操作系统内执行任意命令。这类命令执行通过专用虚拟通道完成,完全绕过网络协议栈,不会留下防御者通常监控的网络连接日志、防火墙记录或典型认证事件。
命令执行权限与 QEMU 客户机代理服务权限一致 —— 在 Windows 和 Linux 系统中,该权限通常为系统级访问权限。
一旦攻击者发现启用了客户机代理的虚拟机,将几乎不会面临任何基于网络的检测障碍。
该研究还提供了在整个集群中识别脆弱目标的实用技术,并展示了与合法管理员自动化操作无缝融合的命令执行模式。
这种攻击方式无需借助网络跳转或传统漏洞利用手段,即可让攻击者在所有被攻陷的虚拟机上获得完整代码执行权限,从根本上破坏了大多数企业依赖的基于网络的检测策略。
发表评论
您还未登录,请先登录。
登录