25 мая 2026, 13:27
Уязвимость CDN скрывает вредоносный посещаемость за доверенными доменами
Злоумышленники используют уязвимость в инфраструктуре сетей доставки контента (CDN) для сокрытия подключений к вредоносным доменам. Исследователи утверждают, что эта уязвимость может затронуть около 88 млн доменов и позволяет обходить фильтрацию DNS и защитные механизмы, потенциально обеспечивая скрытую связь для управления и контроля, а равным образом другие скрытые атаки.
Уязвимость, получившая название Underminr, представляет собой вариант атаки с использованием подставных доменов (domain fronting). Это ныне устранённый тип атаки, позволявший злоумышленникам размещать разрешённый адрес сайта в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая одновременно иной целевой адрес сайта в зашифрованный заголовок HTTP host туннеля TLS.
Поскольку CDN маршрутизировали запросы внутри сети на основе заголовков host, запрос достигал скрытого адресата, в то время как посещаемость выглядел так, будто направляется к авторитетному подставному домену.
Вместо использования подставного домена Underminr отображает SNI и HTTP Host домена, принудительно отправляя запрос на IP-адрес другого арендатора на том же общем периферийном узле.
Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе тех, которые внедрили меры защиты от подставных доменов.
«Это злоупотребление позволяет соединениям, которые выглядят как направленные к доверенному домену, на самом деле подключаться к другому, который может быть использован в злонамеренных целях», — поясняет компания, занимающаяся веб-безопасностью.
Злоумышленники могут применять уязвимость Underminr для сокрытия подключений к серверам управления и контроля (C&C), а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.
«В упрощённом виде уязвимость возникает, когда решения DNS, IP-адреса на границе сети, SNI, заголовки Host и маршрутизация арендатора CDN не коррелируют. Конечная точка видит разрешённый DNS-запрос, в то время как соединение может завершиться с другим именем хоста», — сообщают в ADAMnetworks.
По данным компании, эта техника атаки использовалась для подключения к доменам, размещённым на инфраструктуре CDN, используемой совместно с разрешёнными доменами, главным образом через TCP-соединения на порту 443, где SNI раскрывает предполагаемое имя хоста TLS.
Уязвимость Underminr может быть использована с помощью четырёх различных стратегий для обхода службы мониторинга и фильтрации DNS-запросов Protective DNS (PDNS).
В реальных сценариях злоумышленники могут запускать атаки с использованием вредоносных приложений и скриптов оболочки. По данным ADAMnetworks, уязвимость также может быть использована в атаках ClickFix.
Больше всего пострадает интернет-инфраструктура в США, Великобритании и Канаде. Ожидается, что растущая зависимость злоумышленников от ИИ приведет к всплеску атак.
«Как только Underminr станет параметрической информацией для вредоносного ПО, созданного с помощью ИИ, мы можем ожидать увидеть его в каждой атаке, которая должна обойти защитный DNS в контексте цепочки атак», — говорит генеральный директор ADAMnetworks Дэвид Редекоп.
Читают сейчас

1 час назад
Власти Китая потребовали от автопроизводителей вернуть физические кнопки для 19 функций
Китайские регуляторы утвердили требования, обязывающие автопроизводителей с 1 июля 2027 года оснащать все продаваемые в стране автомобили физическими органами управления для 19 основных функций, говор

1 час назад
14 июля все ваши текстово-графические объявления умрут
Ну ладно, можно без нагнетания, текстово-графические объявления перестанут существовать и их место займут Комбинаторные объявления. Комбинаторные - это не какая-то новинка Яндекса, они уже существуют

1 час назад
Биологи нашли способ, который уничтожает 99% раковых клеток без химиотерапии — в лабораторных условиях
Учёные, возможно, нашли метод уничтожать раковые клетки, не прибегая на начальном этапе к химиотерапии, хирургическому вмешательству или лучевой терапии. Этот решение получил название «молекулярный от
1 час назад
Google обновит условия пользования магазином Google Play с 29 июля 2026 года
Организация Google уведомила пользователей о том, что с 29 июля 2026 года вступают в силу обновлённые условия использования магазина Google Play. Изменения затрагивают автоматическую установку обновле

1 час назад
AWS раскрыла детали первой в истории трансляции 4K‑видео с Луны — сеть для передачи сигнала собрали за некоторое количество недель
Amazon Web Services раскрыла технические подробности первой в истории трансляции видео в разрешении 4K с Луны на Землю, которая состоялась в апреле 2026 года в ходе миссии Artemis II. Трансляцию посмо