Ranjivost Underminr omogućuje skrivanje zlonamjernih veza iza pouzdanih domena

Sigurnosni istraživači upozoravaju na ranjivost nazvanu Underminr koja se oslanja na zajedničku CDN infrastrukturu i može se iskoristiti za skrivanje veza prema zlonamjernim domenama. SecurityWeek navodi da je riječ o varijanti domain frontinga, tehnike koja je nekoć omogućavala napadačima da u SNI i TLS certifikacijska polja stavljaju dopuštenu domenu, dok su stvarnu metu skrivali unutar kriptiranog HTTP zaglavlja u TLS tunelu.

ADAMnetworks opisuje da se kod Underminra na SNI i HTTP Host jedne domene kombinira zahtjev prema IP adresi drugog zakupca na istom zajedničkom edgeu. Zbog toga promet može izgledati kao da ide prema pouzdanoj domeni, iako se stvarno povezuje s drugom domenom. Prema toj tvrtki, tu su tehniku napadači već zloupotrebljavali u napadima na velike pružatelje hostinga, uključujući i one koji su uveli ublažavanja protiv domain frontinga.

Tvrtka kaže da se ovakva zloupotreba može koristiti za skrivanje veza prema komandno-upravljačkim poslužiteljima, kao i za VPN i proxy veze te za zaobilaženje mrežnih pravila za izlazni promet. ADAMnetworks dodaje da se u jednostavnom obliku propust otkriva kada DNS odluke, edge IP adrese, SNI, Host zaglavlja i rutiranje CDN zakupaca nisu međusobno povezani. U tom slučaju krajnja točka vidi dopušten DNS upit, dok se veza može dovršiti prema drugom hostiranom imenu.

ADAMnetworks navodi da se tehnika u praksi zloupotrebljavala u napadima koji su se povezivali s domenama hostiranima na CDN infrastrukturi dijeljenoj s dopuštenim domenama, uglavnom putem TCP veza na portu 443, pri čemu SNI otkriva namjeravano TLS ime hosta. Ranjivost se može iskoristiti na četiri različita načina za zaobilaženje servisa Protective DNS (PDNS) za nadzor i filtriranje DNS upita. U stvarnim scenarijima napadači mogu koristiti zlonamjerne aplikacije i shell skripte, a ADAMnetworks kaže da se ranjivost može zloupotrijebiti i u ClickFix napadima.

Prema ADAMnetworksu, oko 88 milijuna domena potencijalno je pogođeno Underminrom, a najviše je pogođena internetska infrastruktura u SAD-u, Ujedinjenoj Kraljevini i Kanadi. Tvrtka također navodi da se očekuje kako će sve veće oslanjanje napadača na umjetnu inteligenciju dovesti do porasta napada. Izvršni direktor ADAMnetworksa David Redekop kaže da bi se, kad Underminr postane parametarski podatak za AI-generirani zlonamjerni softver, mogao pojavljivati u svakom napadu koji treba izbjeći protective DNS kao dio lanca napada.