كشف تحليل أمني جديد عن ثغرات أمنية كبيرة في كيفية استغلال بيئة Proxmox الافتراضية، وهي أداة شائعة لتشغيل وإدارة الأجهز ة الافتراضية والسحابات الخاصة، وذلك فور حصول مهاجم على وصول أولي للنظام.
تسمح هذه الثغرات، التي اكتشفها باحثون أمنيون، للمهاجمين بالتنقل عبر الأجهزة الافتراضية، وسرقة البيانات الحساسة، والحفاظ على وجودهم بصمت دون إطلاق أي إنذارات أمنية تقليدية.
استغلال بيئة Proxmox الافتراضية عبر تقنيات “العيش على الهايبرفايزر”
تتمحور طبيعة هذه الاستغلالات حول ما يسميه الباحثون تقنيات “العيش على الهايبرفايزر”. وتعني هذه التقنيات استخدام الأدوات والميزات الشرعية لـ Proxmox لأغراض خبيثة.
بخلاف الإجراءات الأمنية التي تستهدف التهديدات الخارجية، تعتمد هذه الأساليب على وظائف مدمجة يستخدمها مسؤولو النظام بالفعل في العمليات الروتينية، مما يجعل اكتشافها أكثر صعوبة.
مرونة Proxmox كسطح هجوم
ما يجعل Proxmox جذاباً للمهاجمين هو بنيته. فبخلاف أنظمة الهايبرفايزر الخاصة التي تعمل بنواة دقيقة متخصصة، يعمل Proxmox كنظام Debian Linux كامل مع أدوات المحاكاة الافتراضية المطبقة فوقه.
يخلق هذا التداخل سطح هجوم فريداً يجمع بين تقنيات تصعيد الامتيازات القياسية في Linux وقدرات خاصة بالهايبرفايزر لا تراقبها فرق الدفاع عادةً.
عندما يتمكن مهاجم من اختراق خادم Proxmox، فإنه يكتسب فعلياً وصولاً محتملاً إلى كل جهاز افتراضي يديره هذا الخادم.
كشف مسارات استغلال خفية
وثق مهندس أمن معلومات، آندي جيل، هذه المسارات للاستغلال في بحث فني شامل. يوضح تحليله كيف يمكن للمهاجمين تجاوز أنظمة الكشف الشبكي، وتنفيذ تعليمات برمجية داخل الأجهزة الافتراضية المعزولة، واستخلاص معلومات حساسة من ذاكرة الأجهزة الافتراضية ومساحات التخزين الخاصة بها دون إطلاق إنذارات أمنية تقليدية.
التنفيذ المباشر للأجهزة الافتراضية دون آثار شبكية
يسلط البحث الضوء على وكيل الضيف QEMU (QEMU guest agent) كمسار استغلال مقلق بشكل خاص. عندما يكون وكيل الضيف ممكّنًا في الأجهزة الافتراضية—والذي يظهر كـ “agent: 1” في إعدادات الجهاز الافتراضي—يمكن للهايبرفايزر تنفيذ أوامر عشوائية مباشرة داخل نظام تشغيل الضيف.
يحدث هذا التنفيذ عبر قناة افتراضية متخصصة تتجاوز مكدس الشبكة بالكامل، مما لا يترك أي سجلات لاتصال شبكي، أو إدخالات جدار ناري، أو أحداث مصادقة تقليدية يراقبها المدافعون.
تُنفذ الأوامر بامتيازات مساوية لامتيازات خدمة وكيل الضيف QEMU، والتي عادة ما تكون وصولاً على مستوى النظام في كل من أنظمة Windows و Linux.
تحديات الكشف
يواجه المهاجم الذي يكتشف أجهزة افتراضية مزودة بوكيل ضيف ممكّن عقبات تكاد تكون معدومة في الكشف الشبكي.
يقدم البحث تقنيات عملية لتحديد الأهداف المعرضة للخطر عبر مجموعات كاملة، ويوضح أنماط تنفيذ الأوامر التي تمتزج بسلاسة مع الأتمتة الإدارية المشروعة.
يمكّن هذا النهج من تنفيذ تعليمات برمجية كاملة على كل جهاز افتراضي تم اختراقه دون الحاجة إلى التنقل الشبكي أو أساليب الاستغلال التقليدية، مما يقوض بشكل أساسي استراتيجيات الكشف المعتمدة على الشبكة والتي تعتمد عليها معظم المؤسسات.