Intrusi Invisibili: Come gli Strumenti di Proxmox Possono Consentire il Dirottamento dell’Hypervisor

Immagina una fortezza digitale gestita da un custode fidato - solo per scoprire che le chiavi di ogni porta sono state lasciate in bella vista. È questo lo scenario inquietante che emerge da una nuova ricerca su Proxmox VE, una piattaforma di virtualizzazione open source ampiamente utilizzata. Il progetto LOLPROX, guidato dal ricercatore di sicurezza Andy Gill, mostra come i cybercriminali possano prendere silenziosamente il controllo degli hypervisor Proxmox utilizzando strumenti pensati per la gestione quotidiana - rendendo di fatto ciechi i difensori di fronte alla violazione.

Il Doppio Taglio del “Living Off the Land”

Le piattaforme di virtualizzazione come Proxmox VE sono apprezzate per la loro potenza e semplicità, ma queste stesse qualità possono trasformarsi in punti deboli. Il progetto LOLPROX cataloga come gli aggressori, una volta entrati in un ambiente Proxmox, possano utilizzare binari integrati e comandi di gestione - senza bisogno di malware - per aumentare i privilegi e manipolare a piacimento le macchine virtuali (VM). Questo approccio, noto come “living off the land”, rende le azioni malevole quasi indistinguibili dal normale lavoro di amministrazione.

Componenti come pve-cluster, pve-qemu-kvm e il filesystem condiviso /etc/pve permettono una gestione e configurazione delle VM senza soluzione di continuità tra i nodi. Ma queste comodità offrono anche agli avversari percorsi per muoversi lateralmente, persistere attraverso i riavvii o propagare attacchi all’interno di un cluster virtuale - il tutto confondendosi con il rumore di fondo delle operazioni di routine.

Canali Invisibili: vsock e Guest Agent

Gli strumenti più insidiosi, secondo LOLPROX, sono il protocollo vsock e il QEMU Guest Agent. Vsock consente una comunicazione diretta host-guest che bypassa completamente firewall e strumenti di monitoraggio della rete - niente SSH, niente RDP, niente log. Nel frattempo, se il QEMU Guest Agent è abilitato su una VM, gli aggressori possono eseguire comandi, recuperare file o instaurare persistenza dall’host, tutto senza interazione dell’utente o tracce di rete. Queste funzionalità, pensate per l’automazione e la gestione legittima, diventano backdoor quasi invisibili se abusate.

Altre funzionalità di Proxmox, come snapshot e backup delle VM, possono essere trasformate in armi per furti di dati su larga scala o ransomware, mentre tecniche avanzate che sfruttano il tracing eBPF o i filtri QEMU block permettono agli aggressori di intercettare o alterare dati in tempo reale - lasciando poche o nessuna traccia forense.

I Difensori Riusciranno a Recuperare il Ritardo?

Le scoperte di LOLPROX sono un campanello d’allarme: un host Proxmox compromesso non mette a rischio solo un server - ma ogni VM sotto il suo controllo. Ai difensori si raccomanda di andare oltre il logging predefinito, analizzare i log delle attività di Proxmox, verificare l’integrità dei binari QEMU e controllare regolarmente i moduli del kernel. In un contesto in cui gli aggressori possono così facilmente mascherarsi da amministratori, la vigilanza e il monitoraggio proattivo sono le uniche difese rimaste.

Man mano che la virtualizzazione diventa la spina dorsale dell’IT moderno, il confine tra comodità e vulnerabilità si fa sempre più sottile. La domanda per i difensori non è più se, ma quanto rapidamente riusciranno a individuare il lupo travestito da amministratore.