“Underminr”漏洞允许攻击者将恶意连接隐藏在受信任域名之后

威胁行为者正在利用共享内容分发网络（CDN）基础设施中的漏洞，以隐藏与恶意域名的连接。

该漏洞被称为 Underminr，是域名前置（domain fronting）攻击的一种变体。域名前置是一种现已得到缓解的攻击类型，攻击者曾通过在 HTTPS 请求的 SNI 和 TLS 证书验证字段中放置允许的域名，同时在 TLS 隧道的加密 HTTP Host 头中嵌入不同的目标域名来实施攻击。

由于 CDN 内部根据 Host 头路由请求，流量最终会到达隐藏的目标，而外部流量看起来似乎正发往信誉良好的前置域名。

与使用前置域名不同，Underminr 在呈现某个域名的 SNI 和 HTTP Host 的同时，强制将请求发送至同一共享边缘节点上另一租户的 IP 地址。

ADAMnetworks 报告指出，这种不匹配已被利用于针对大型托管提供商的攻击中，包括那些已实施针对域名前置缓解措施的提供商。

该网络安全公司解释道：“这种滥用允许表面上发往受信任域名的连接，实际上连接到另一个可能被用于恶意目的的域名。”

模仿防护（Imitation Protection）

威胁行为者可滥用 Underminr 来隐藏与 C&C 服务器的连接，以及 VPN 和代理连接，并绕过网络出口策略。

ADAMnetworks 表示：“在简单形式下，当 DNS 决策、边缘 IP、SNI、Host 头以及 CDN 租户路由之间缺乏关联时，就会出现检测盲区。终端看到的是允许的 DNS 查询，而连接却可以在另一个托管名称上完成。”

据该公司称，该攻击技术已被滥用于连接托管在与允许域名共享的 CDN 基础设施上的域名，主要通过 TCP 443 端口进行连接，其中 SNI 暴露了预期的 TLS 主机名。

Underminr 漏洞可利用四种不同策略来绕过保护性 DNS（PDNS）查询监控和过滤服务。

在现实场景中，攻击者可使用恶意应用程序和 Shell 脚本发起攻击。ADAMnetworks 指出，该漏洞还可被用于 ClickFix 攻击中。

约有 8800 万个域名可能受到 Underminr 的影响，其中美国、英国和加拿大的互联网基础设施受影响最为严重。随着威胁行为者对 AI 的依赖增加，预计此类攻击将激增。

ADAMnetworks 首席执行官 David Redekop 表示：“一旦 Underminr 成为 AI 生成恶意软件的参数化信息，我们可能会在每一个需要将绕过保护性 DNS 作为攻击链一部分的攻击中看到它。”