Уязвимость CDN скрывает вредоносный посещаемость за доверенными доменами

Злоумышленники используют уязвимость в инфраструктуре сетей доставки контента (CDN) для сокрытия подключений к вредоносным доменам. Исследователи утверждают, что эта уязвимость может затронуть около 88 млн доменов и позволяет обходить фильтрацию DNS и защитные механизмы, потенциально обеспечивая скрытую связь для управления и контроля, а равным образом другие скрытые атаки.

Уязвимость, получившая название Underminr, представляет собой вариант атаки с использованием подставных доменов (domain fronting). Это ныне устранённый тип атаки, позволявший злоумышленникам размещать разрешённый адрес сайта в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая одновременно иной целевой адрес сайта в зашифрованный заголовок HTTP host туннеля TLS.

Поскольку CDN маршрутизировали запросы внутри сети на основе заголовков host, запрос достигал скрытого адресата, в то время как посещаемость выглядел так, будто направляется к авторитетному подставному домену.

Вместо использования подставного домена Underminr отображает SNI и HTTP Host домена, принудительно отправляя запрос на IP-адрес другого арендатора на том же общем периферийном узле.

Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе тех, которые внедрили меры защиты от подставных доменов.

«Это злоупотребление позволяет соединениям, которые выглядят как направленные к доверенному домену, на самом деле подключаться к другому, который может быть использован в злонамеренных целях», — поясняет компания, занимающаяся веб-безопасностью.

Злоумышленники могут применять уязвимость Underminr для сокрытия подключений к серверам управления и контроля (C&C), а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.

«В упрощённом виде уязвимость возникает, когда решения DNS, IP-адреса на границе сети, SNI, заголовки Host и маршрутизация арендатора CDN не коррелируют. Конечная точка видит разрешённый DNS-запрос, в то время как соединение может завершиться с другим именем хоста», — сообщают в ADAMnetworks.

По данным компании, эта техника атаки использовалась для подключения к доменам, размещённым на инфраструктуре CDN, используемой совместно с разрешёнными доменами, главным образом через TCP-соединения на порту 443, где SNI раскрывает предполагаемое имя хоста TLS.

Уязвимость Underminr может быть использована с помощью четырёх различных стратегий для обхода службы мониторинга и фильтрации DNS-запросов Protective DNS (PDNS).

В реальных сценариях злоумышленники могут запускать атаки с использованием вредоносных приложений и скриптов оболочки. По данным ADAMnetworks, уязвимость также может быть использована в атаках ClickFix.

Больше всего пострадает интернет-инфраструктура в США, Великобритании и Канаде. Ожидается, что растущая зависимость злоумышленников от ИИ приведет к всплеску атак.

«Как только Underminr станет параметрической информацией для вредоносного ПО, созданного с помощью ИИ, мы можем ожидать увидеть его в каждой атаке, которая должна обойти защитный DNS в контексте цепочки атак», — говорит генеральный директор ADAMnetworks Дэвид Редекоп.