Злоумышленники используют уязвимость в инфраструктуре сетей доставки контента (CDN) для сокрытия подключений к вредоносным доменам. Исследователи утверждают, что эта уязвимость может затронуть около 88 млн доменов и позволяет обходить фильтрацию DNS и защитные механизмы, потенциально обеспечивая скрытую связь для управления и контроля, а также другие скрытые атаки.
Уязвимость, получившая название Underminr, представляет собой вариант атаки с использованием подставных доменов (domain fronting). Это ныне устранённый тип атаки, позволявший злоумышленникам размещать разрешённый домен в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая при этом другой целевой домен в зашифрованный заголовок HTTP host туннеля TLS.
Поскольку CDN маршрутизировали запросы внутри сети на основе заголовков host, запрос достигал скрытого адресата, в то время как трафик выглядел так, будто направляется к авторитетному подставному домену.
Вместо использования подставного домена Underminr отображает SNI и HTTP Host домена, принудительно отправляя запрос на IP-адрес другого арендатора на том же общем периферийном узле.
Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе тех, которые внедрили меры защиты от подставных доменов.
«Это злоупотребление позволяет соединениям, которые выглядят как направленные к доверенному домену, на самом деле подключаться к другому, который может быть использован в злонамеренных целях», — поясняет компания, занимающаяся веб-безопасностью.
Злоумышленники могут использовать уязвимость Underminr для сокрытия подключений к серверам управления и контроля (C&C), а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.
«В упрощённом виде уязвимость возникает, когда решения DNS, IP-адреса на границе сети, SNI, заголовки Host и маршрутизация арендатора CDN не коррелируют. Конечная точка видит разрешённый DNS-запрос, в то время как соединение может завершиться с другим именем хоста», — сообщают в ADAMnetworks.
По данным компании, эта техника атаки использовалась для подключения к доменам, размещённым на инфраструктуре CDN, используемой совместно с разрешёнными доменами, в основном через TCP-соединения на порту 443, где SNI раскрывает предполагаемое имя хоста TLS.
Уязвимость Underminr может быть использована с помощью четырёх различных стратегий для обхода службы мониторинга и фильтрации DNS-запросов Protective DNS (PDNS).
В реальных сценариях злоумышленники могут запускать атаки с использованием вредоносных приложений и скриптов оболочки. По данным ADAMnetworks, уязвимость также может быть использована в атаках ClickFix.
Больше всего пострадает интернет-инфраструктура в США, Великобритании и Канаде. Ожидается, что растущая зависимость злоумышленников от ИИ приведет к всплеску атак.
«Как только Underminr станет параметрической информацией для вредоносного ПО, созданного с помощью ИИ, мы можем ожидать увидеть его в каждой атаке, которая должна обойти защитный DNS в рамках цепочки атак», — говорит генеральный директор ADAMnetworks Дэвид Редекоп.
ссылка на оригинал статьи https://habr.com/ru/articles/1038976/