Уязвимость CDN скрывает вредоносный трафик за доверенными доменами

Злоумышленники используют уязвимость в инфраструктуре сетей доставки контента (CDN) для сокрытия подключений к вредоносным доменам. Исследователи утверждают, что эта уязвимость может затронуть около 88 млн доменов и позволяет обходить фильтрацию DNS и защитные механизмы, потенциально обеспечивая скрытую связь для управления и контроля, а также другие скрытые атаки.

Уязвимость, получившая название Underminr, представляет собой вариант атаки с использованием подставных доменов (domain fronting). Это ныне устранённый тип атаки, позволявший злоумышленникам размещать разрешённый домен в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая при этом другой целевой домен в зашифрованный заголовок HTTP host туннеля TLS.

Поскольку CDN маршрутизировали запросы внутри сети на основе заголовков host, запрос достигал скрытого адресата, в то время как трафик выглядел так, будто направляется к авторитетному подставному домену.

Вместо использования подставного домена Underminr отображает SNI и HTTP Host домена, принудительно отправляя запрос на IP-адрес другого арендатора на том же общем периферийном узле.

Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе тех, которые внедрили меры защиты от подставных доменов.

«Это злоупотребление позволяет соединениям, которые выглядят как направленные к доверенному домену, на самом деле подключаться к другому, который может быть использован в злонамеренных целях», — поясняет компания, занимающаяся веб-безопасностью.

Злоумышленники могут использовать уязвимость Underminr для сокрытия подключений к серверам управления и контроля (C&C), а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.

«В упрощённом