Cybercriminelen maken misbruik van een kwetsbaarheid in gedeelde content delivery network (CDN) infrastructuur om verbindingen met kwaadaardige domeinen te verbergen. Deze kwetsbaarheid, genaamd Underminr, is een variant op domain fronting, een inmiddels grotendeels aangepakte aanvalsmethode. Bij domain fronting konden aanvallers een toegestaan domein in de SNI en TLS-certificaatvelden van een HTTPS-verzoek plaatsen, terwijl een ander doel-domein in de versleutelde HTTP host-header werd verborgen. Omdat CDN’s intern verzoeken routeren op basis van host-headers, kwam het verzoek alsnog bij de verborgen bestemming terecht, terwijl het verkeer leek te gaan naar een betrouwbaar voorkeursdomein.

In plaats van een voorkeursdomein te gebruiken, toont Underminr de SNI en HTTP Host van een domein, terwijl het verzoek wordt geforceerd naar het IP-adres van een andere huurder op dezelfde gedeelde edge. Volgens ADAMnetworks wordt deze mismatch misbruikt in aanvallen op grote hostingproviders, ook bij aanbieders die al mitigaties tegen domain fronting hebben doorgevoerd. Dit stelt aanvallers in staat om verbindingen te maken die lijken te gaan naar een vertrouwd domein, maar in werkelijkheid naar een ander domein leiden dat voor kwaadaardige doeleinden kan worden ingezet.

De kwetsbaarheid maakt het mogelijk om verbindingen te verbergen met command-and-control (C&C) servers, VPN- en proxyverbindingen en om netwerkuitgaande beleidsregels te omzeilen. ADAMnetworks legt uit dat de detectiekloof ontstaat wanneer DNS-beslissingen, edge IP’s, SNI, Host-headers en CDN-tenantrouting niet worden gecorreleerd. Het eindpunt ziet een toegestane DNS-opzoeking, terwijl de verbinding wordt voltooid met een andere gehoste naam.

De aanvalstechniek wordt vooral via TCP-verbindingen op poort 443 ingezet, waarbij de SNI de bedoelde TLS-hostnaam blootlegt. Underminr kan op vier verschillende manieren worden ingezet om de monitoring en filtering van Protective DNS (PDNS) te omzeilen. In de praktijk kunnen aanvallers deze kwetsbaarheid misbruiken via kwaadaardige applicaties en shellscripts. Daarnaast kan Underminr worden ingezet bij ClickFix-aanvallen, aldus ADAMnetworks.

Er zijn naar schatting 88 miljoen domeinen die mogelijk door Underminr worden getroffen, waarbij internetinfrastructuur in de Verenigde Staten, het Verenigd Koninkrijk en Canada het zwaarst wordt geraakt. De toenemende inzet van AI door aanvallers kan leiden tot een toename van dergelijke aanvallen. ADAMnetworks CEO David Redekop waarschuwt dat zodra Underminr onderdeel wordt van AI-gegenereerde malware, het in vrijwel elke aanval die Protective DNS wil omzeilen kan worden toegepast.