Intrus invisibles : comment les attaquants exploitent les voies furtives de Proxmox

Une nouvelle vague de cyberattaques utilise les propres outils de Proxmox pour infiltrer les environnements virtuels, échappant ainsi aux défenses traditionnelles.

Imaginez un attaquant qui passe devant vos caméras de sécurité - non pas en les évitant, mais en utilisant vos propres clés et couloirs. C’est la réalité inquiétante révélée par de nouvelles recherches sur Proxmox Virtual Environment (VE) : les attaquants détournent les outils mêmes conçus pour gérer la virtualisation, les transformant en armes pour des attaques indétectables et persistantes en profondeur.

En bref

« LOLPROX » est un catalogue de techniques « Living Off The Land » ciblant les utilitaires natifs de Proxmox VE.
Les attaquants exploitent les outils intégrés (comme qm, pct et pvesh) pour compromettre les machines virtuelles invitées sans déclencher d’alertes réseau.
Les sockets virtuels (vsock) permettent une communication silencieuse entre l’hôte et la VM, contournant la surveillance traditionnelle.
Les attaques au niveau de l’hyperviseur peuvent extraire des données sensibles et installer des menaces persistantes sous le radar du système d’exploitation invité.
La défense contre ces menaces nécessite une journalisation vigilante au niveau de l’hôte et des vérifications d’intégrité - et pas seulement une surveillance réseau.

Le manuel LOLPROX : transformer les outils d’administration en vecteurs d’attaque

Le chercheur en sécurité Andy Gill, sous le pseudonyme ZephrSec, a cartographié un arsenal inquiétant de techniques « Living Off The Land » (LOL) pour Proxmox. Contrairement aux malwares qui doivent introduire du code étranger, LOLPROX s’appuie sur les propres binaires administratifs de Proxmox. Une fois qu’un attaquant obtient un accès root à l’hyperviseur, il peut utiliser des outils comme qm et pct pour pivoter vers les machines virtuelles (VM) sans générer de trafic réseau détectable - contournant ainsi pare-feux, systèmes de détection d’intrusion et outils de surveillance classiques.

L’une des techniques les plus insidieuses implique les opérations vsock (socket virtuel). Vsock fournit un canal de communication direct entre l’hyperviseur et ses VM invitées - totalement hors du réseau TCP/IP. Comme ce trafic passe par un périphérique PCI virtuel, il est invisible pour les outils classiques de journalisation réseau. Cela signifie qu’un attaquant peut établir un canal de commande et contrôle (C2) directement dans une VM isolée, en contournant toutes les défenses périmétriques.

Un autre risque souvent négligé : l’agent invité QEMU. Lorsqu’il est activé, il permet à l’hyperviseur d’exécuter des commandes arbitraires à l’intérieur des VM invitées - sans authentification, sans trace réseau, et sans historique de connexion standard. Ces actions ne sont généralement enregistrées que dans les journaux locaux des tâches Proxmox, que les attaquants peuvent facilement effacer.

L’exfiltration de données est tout aussi furtive. Les attaquants peuvent créer des instantanés de VM - including des dumps mémoire - pour récolter des clés de chiffrement et des identifiants hors ligne. Les outils de sauvegarde intégrés facilitent l’exportation d’images disque complètes, permettant aux acteurs malveillants de fouiller des fichiers sensibles sans jamais toucher à la VM active.

La menace ne s’arrête pas là. En chargeant des modules noyau malveillants ou en abusant d’eBPF (Extended Berkeley Packet Filter), les attaquants peuvent intercepter et modifier les données lors de leur écriture sur disque - permettant des attaques de ransomware ou des vols de données silencieux, tout cela en dessous du niveau de vigilance du système d’exploitation invité.

Que peuvent faire les défenseurs ?

Les défenses traditionnelles centrées sur le réseau sont impuissantes face à ces techniques. Les experts en sécurité recommandent désormais de passer à une surveillance rigoureuse au niveau de l’hôte : examiner les journaux de tâches Proxmox pour détecter l’utilisation inhabituelle des outils d’administration, auditer tous les modules noyau et vérifier régulièrement l’intégrité des binaires système. Dans un monde où votre propre infrastructure peut être retournée contre vous, la vigilance au niveau de l’hôte n’est plus une option - c’est une nécessité.