找回密码
 立即注册
搜索

“Underminr”漏洞允许攻击者将恶意连接隐藏在受信任域名之后

作者:admin | 时间:2026-5-25 19:51:12 | 阅读:77| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
威胁行为者正在利用共享内容分发网络(CDN)基础设施中的漏洞,以隐藏与恶意域名的连接。

该漏洞被称为 Underminr,是域名前置(domain fronting)攻击的一种变体。域名前置是一种现已得到缓解的攻击类型,攻击者曾通过在 HTTPS 请求的 SNI 和 TLS 证书验证字段中放置允许的域名,同时在 TLS 隧道的加密 HTTP Host 头中嵌入不同的目标域名来实施攻击。

由于 CDN 内部根据 Host 头路由请求,流量最终会到达隐藏的目标,而外部流量看起来似乎正发往信誉良好的前置域名。

与使用前置域名不同,Underminr 在呈现某个域名的 SNI 和 HTTP Host 的同时,强制将请求发送至同一共享边缘节点上另一租户的 IP 地址。

ADAMnetworks 报告指出,这种不匹配已被利用于针对大型托管提供商的攻击中,包括那些已实施针对域名前置缓解措施的提供商。

该网络安全公司解释道:“这种滥用允许表面上发往受信任域名的连接,实际上连接到另一个可能被用于恶意目的的域名。”

模仿防护(Imitation Protection)
威胁行为者可滥用 Underminr 来隐藏与 C&C 服务器的连接,以及 VPN 和代理连接,并绕过网络出口策略。

ADAMnetworks 表示:“在简单形式下,当 DNS 决策、边缘 IP、SNI、Host 头以及 CDN 租户路由之间缺乏关联时,就会出现检测盲区。终端看到的是允许的 DNS 查询,而连接却可以在另一个托管名称上完成。”

据该公司称,该攻击技术已被滥用于连接托管在与允许域名共享的 CDN 基础设施上的域名,主要通过 TCP 443 端口进行连接,其中 SNI 暴露了预期的 TLS 主机名。

Underminr 漏洞可利用四种不同策略来绕过保护性 DNS(PDNS)查询监控和过滤服务。

在现实场景中,攻击者可使用恶意应用程序和 Shell 脚本发起攻击。ADAMnetworks 指出,该漏洞还可被用于 ClickFix 攻击中。

约有 8800 万个域名可能受到 Underminr 的影响,其中美国、英国和加拿大的互联网基础设施受影响最为严重。随着威胁行为者对 AI 的依赖增加,预计此类攻击将激增。

ADAMnetworks 首席执行官 David Redekop 表示:“一旦 Underminr 成为 AI 生成恶意软件的参数化信息,我们可能会在每一个需要将绕过保护性 DNS 作为攻击链一部分的攻击中看到它。”

%e5%8f%af%e7%94%a8-security-4868172_1280.jpg

您需要登录后才可以回帖 登录 | 立即注册
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagram 账户可能遭到入侵
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中
新型 Gaslight macOS 恶意软件利用提示注入
一种此前未被记录的基于 Rust 的 macOS 植入程序和信息窃取器被发现嵌入了提示注入载
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案
日本能源公司丢失存储有 1090 万客户数据的
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一
The Gentlemen 勒索软件声称有 478 名受害
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属
Silent Ransom Group 通过虚假 IT 支持电话
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针
思科预警 2026 年第 7 个 SD-WAN 零日漏洞
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
CISA 将正在被利用的 SolarWinds Serv-U Do
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器