Underminr позволяет обходить DNS-фильтрацию через общие CDN-адреса

ADAMnetworks опубликовала описание Underminr — техники обхода DNS-фильтрации в инфраструктуре CDN и крупных хостинг-провайдеров с общими edge-адресами. Компания оценивает потенциальный охват в десятки миллионов сайтов, но независимые комментарии указывают, что речь скорее о злоупотреблении архитектурой shared edge, чем о классической ошибке, закрываемой одним патчем.

Канадский разработчик средств сетевой безопасности ADAMnetworks 21 мая раскрыл детали Underminr — способа скрывать фактический сетевой пункт назначения за доверенным доменом, размещенным на той же общей инфраструктуре CDN (сети доставки контента) или крупного хостинг-провайдера. В техническом описании компания сравнивает Underminr с domain fronting, но подчеркивает отличие: клиент сначала получает IP-адрес разрешенного домена, а затем устанавливает соединение к этому адресу с SNI — именем сервера в TLS-рукопожатии — или HTTP Host другого клиентского домена на том же edge-узле.

Для защитного DNS (Protective DNS, PDNS) и egress-политик это создает слепую зону: в журнале DNS виден легитимный домен, тогда как соединение может завершиться на другом имени, используемом для C2 (command-and-control), прокси, VPN или загрузки вредоносной нагрузки. ADAMnetworks пишет, что такой сценарий может запускаться вредоносным приложением, shell-скриптом или в атаках ClickFix, когда пользователя убеждают выполнить команду на своем устройстве.

В impact report ADAMnetworks сообщает, что из 4,14 млн проверенных доменов из Tranco, рейтинговой выборки популярных доменов, 1,74 млн были размещены у CDN-провайдеров, давших положительный результат на SNI-deception; всего проверялись 73 провайдера, 33 из них попали в уязвимую группу. Оценка в 88,4 млн сайтов — это не подтвержденное число индивидуально уязвимых доменов, а расширенная оценка footprint таких провайдеров по данным BuiltWith; в отчете отдельно указано, что категории могут пересекаться.

Underminr сам по себе не означает компрометацию сайта, чей домен используется как прикрытие. В комментарии SC Media представитель DNS-сервиса Quad9 назвал это не столько багом, сколько проблемой безопасности, возникающей из-за централизации CDN и shared-hosting-инфраструктуры: множество доменов обслуживаются через одни и те же IP-адреса.

Практический вывод для администраторов — не полагаться только на разрешенный DNS-запрос или репутацию домена. ADAMnetworks рекомендует сопоставлять DNS-ответ, IP edge-узла, SNI, Host header и маршрут внутри CDN, отдельно учитывать домены-прикрытия и фактические пункты назначения, а для критичных сервисов рассматривать выделенные IP или сегментацию клиентов у CDN-провайдера.