Underminr:新型CDN濫用技術讓惡意連線偽裝成可信網域流量

ADAMnetworks 於 2026-05-25 揭露新型 CDN 共享架構濫用技術「Underminr」,攻擊者可讓惡意流量偽裝成可信網域,繞過 DNS/SNI 層安全防線。

技術原理

攻擊利用 CDN 共享邊緣(shared edge)架構:

  1. 受害裝置 DNS 查詢可信網域 A,取得 CDN 邊緣 IP
  2. 連線至該 IP 時,TLS SNI 與 HTTP Host 均指向惡意網域 B(同一 CDN 邊緣)
  3. DNS 記錄顯示查詢可信網域 A → 安全系統放行
  4. 回應來自攻擊者控制的網域 B

核心差異(vs. Domain Fronting 2015):Domain Fronting 是 SNI 寫 A、Host 寫 B;Underminr 是 DNS 查 A,SNI 與 Host 指向 B,因此繞過現有 Google/Amazon/微軟的防禦機制。

影響規模

  • 全球前 500 萬熱門網域中,約 42% 受影響
  • 外推估計:全球約 8,800 萬個網域曝露

攻擊應用場景

  • C2 (Command & Control) 通訊偽裝
  • 資料外洩
  • 代理流量隱匿

緩解措施

  • 同時檢查 DNS、SNI 與 HTTPS Host 標頭
  • 啟用 CDN 租戶隔離機制
  • 關鍵服務部署於專用 IP

來源文章

相關頁面