Уязвимость CDN скрывает вредоносный посещаемость за доверенными доменами

2 мин
Уязвимость CDN скрывает вредоносный посещаемость за доверенными доменами

Злоумышленники используют уязвимость в инфраструктуре сетей доставки контента (CDN) для сокрытия подключений к вредоносным доменам. Исследователи утверждают, что эта уязвимость может затронуть около 88 млн доменов и позволяет обходить фильтрацию DNS и защитные механизмы, потенциально обеспечивая скрытую связь для управления и контроля, а равным образом другие скрытые атаки.

Уязвимость, получившая название Underminr, представляет собой вариант атаки с использованием подставных доменов (domain fronting). Это ныне устранённый тип атаки, позволявший злоумышленникам размещать разрешённый адрес сайта в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая одновременно иной целевой адрес сайта в зашифрованный заголовок HTTP host туннеля TLS.

Поскольку CDN маршрутизировали запросы внутри сети на основе заголовков host, запрос достигал скрытого адресата, в то время как посещаемость выглядел так, будто направляется к авторитетному подставному домену.

Вместо использования подставного домена Underminr отображает SNI и HTTP Host домена, принудительно отправляя запрос на IP-адрес другого арендатора на том же общем периферийном узле.

Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе тех, которые внедрили меры защиты от подставных доменов.

«Это злоупотребление позволяет соединениям, которые выглядят как направленные к доверенному домену, на самом деле подключаться к другому, который может быть использован в злонамеренных целях», — поясняет компания, занимающаяся веб-безопасностью.

Злоумышленники могут применять уязвимость Underminr для сокрытия подключений к серверам управления и контроля (C&C), а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.

«В упрощённом виде уязвимость возникает, когда решения DNS, IP-адреса на границе сети, SNI, заголовки Host и маршрутизация арендатора CDN не коррелируют. Конечная точка видит разрешённый DNS-запрос, в то время как соединение может завершиться с другим именем хоста», — сообщают в ADAMnetworks.

По данным компании, эта техника атаки использовалась для подключения к доменам, размещённым на инфраструктуре CDN, используемой совместно с разрешёнными доменами, главным образом через TCP-соединения на порту 443, где SNI раскрывает предполагаемое имя хоста TLS.

Уязвимость Underminr может быть использована с помощью четырёх различных стратегий для обхода службы мониторинга и фильтрации DNS-запросов Protective DNS (PDNS).

В реальных сценариях злоумышленники могут запускать атаки с использованием вредоносных приложений и скриптов оболочки. По данным ADAMnetworks, уязвимость также может быть использована в атаках ClickFix.

Больше всего пострадает интернет-инфраструктура в США, Великобритании и Канаде. Ожидается, что растущая зависимость злоумышленников от ИИ приведет к всплеску атак.

«Как только Underminr станет параметрической информацией для вредоносного ПО, созданного с помощью ИИ, мы можем ожидать увидеть его в каждой атаке, которая должна обойти защитный DNS в контексте цепочки атак», — говорит генеральный директор ADAMnetworks Дэвид Редекоп.

Читают сейчас

Власти Китая потребовали от автопроизводителей вернуть физические кнопки для 19 функций

1 час назад

Власти Китая потребовали от автопроизводителей вернуть физические кнопки для 19 функций

Китайские регуляторы утвердили требования, обязывающие автопроизводителей с 1 июля 2027 года оснащать все продаваемые в стране автомобили физическими органами управления для 19 основных функций, говор

14 июля все ваши текстово-графические объявления умрут

1 час назад

14 июля все ваши текстово-графические объявления умрут

Ну ладно, можно без нагнетания, текстово-графические объявления перестанут существовать и их место займут Комбинаторные объявления. Комбинаторные - это не какая-то новинка Яндекса, они уже существуют

Биологи нашли способ, который уничтожает 99% раковых клеток без химиотерапии — в лабораторных условиях

1 час назад

Биологи нашли способ, который уничтожает 99% раковых клеток без химиотерапии — в лабораторных условиях

Учёные, возможно, нашли метод уничтожать раковые клетки, не прибегая на начальном этапе к химиотерапии, хирургическому вмешательству или лучевой терапии. Этот решение получил название «молекулярный от

1 час назад

Google обновит условия пользования магазином Google Play с 29 июля 2026 года

Организация Google уведомила пользователей о том, что с 29 июля 2026 года вступают в силу обновлённые условия использования магазина Google Play. Изменения затрагивают автоматическую установку обновле

AWS раскрыла детали первой в истории трансляции 4K‑видео с Луны — сеть для передачи сигнала собрали за некоторое количество недель

1 час назад

AWS раскрыла детали первой в истории трансляции 4K‑видео с Луны — сеть для передачи сигнала собрали за некоторое количество недель

Amazon Web Services раскрыла технические подробности первой в истории трансляции видео в разрешении 4K с Луны на Землю, которая состоялась в апреле 2026 года в ходе миссии Artemis II. Трансляцию посмо