Нова кіберзагроза Underminr маскує шкідливий трафік за довіреними доменами

Фахівці з кібербезпеки виявили небезпечну вразливість у спільній інфраструктурі мереж доставлення контенту (CDN), яку зловмисники вже використовують для приховування зв'язку зі шкідливими доменами.

Уразливість, що отримала назву Underminr, є новою небезпечною модифікацією класичної техніки domain fronting (маскування доменів). Раніше провайдери навчилися блокувати подібні атаки, але Underminr дозволяє обходити навіть найсучасніші системи корпоративного захисту.

За даними компанії ADAMnetworks, під загрозою опинилися близько 88 млн доменів, а найбільше постраждала інтернет-інфраструктура США, Великої Британії та Канади.

У класичних атаках domain fronting хакери вказували дозволений (білий) домен у відкритих полях запиту HTTPS (SNI та TLS-сертифікат), але ховали справжній шкідливий домен усередині зашифрованого HTTP-заголовка Host.

Метод Underminr діє хитромудріше. Запит надсилається з легітимними SNI та HTTP Host-заголовками довіреного сайту. Проте запит примусово перенаправляється на IP-адресу іншого клієнта (орендаря), який розміщений на тій самій спільній периферійній платформі CDN-провайдера.

У результаті виникає критичний розрив у системі моніторингу мережі. Кінцева точка безпеки бачить цілком легітимний DNS-запит до перевіреного ресурсу, тоді як реальне з'єднання встановлюється з абсолютно іншим, потенційно небезпечним хостом, який ділить інфраструктуру з «білим» сайтом. Більшість таких атак здійснюється через TCP-з'єднання на порт 443.

Кіберзлочинці використовують Underminr для маскування трафіку до командних центрів (C&C-серверів), що керують вірусами; приховування несанкціонованих VPN- та проксі-з'єднань; обходу суворих корпоративних політик вихідного трафіку.

Експерти виділяють щонайменше чотири різні стратегії використання цієї вразливості для повного обходу служб фільтрації захищених DNS-серверів (Protective DNS / PDNS). У реальних інцидентах хакери запускають ці сценарії через шкідливі додатки, шелл-скрипти, а також використовують в інженерних атаках типу ClickFix.

Аналітики попереджають, що масштаби загрози можуть стрімко зрости через активне використання штучного інтелекту зловмисниками.

«Як тільки Underminr стане параметричною базовою інформацією для шкідливого ПЗ, згенерованого штучним інтелектом, ми почнемо стикатися з цією вразливістю буквально в кожній кібератаці, де хакерам потрібно обійти захисні DNS-системи на етапі проникнення», — підкреслив Девід Редекоп (David Redekop), генеральний директор ADAMnetworks.

Наразі великим хостинг-провайдерам та CDN-операторам рекомендовано терміново переглянути алгоритми кореляції між DNS-рішеннями, IP-адресами та маршрутизацією клієнтів усередині мереж для закриття цієї архітектурної уразливості.