Underminr濫用共享CDN架構,讓惡意連線偽裝成可信網域流量

來源: iThome | 日期: 2026-05-25 | URL: https://www.ithome.com.tw/news/176088

摘要

ADAMnetworks 揭露名為 Underminr 的新型 CDN 濫用技術,攻擊者可讓惡意連線偽裝成可信網域流量,繞過 DNS 與 SNI 層安全防線。影響全球約 8,800 萬個網域。

攻擊原理

  1. 受害裝置查詢可信網域 A → 取得其 CDN 邊緣 IP
  2. 實際連線至該 IP 時,TLS SNI 與 HTTP Host 均指向惡意網域 B(同在該 CDN 共享邊緣上)
  3. DNS 記錄顯示查詢的是可信網域 A → 安全系統放行
  4. 實際回應卻來自攻擊者控制的網域 B

用途:C2 通訊、資料外洩、代理流量偽裝成正常連線

Underminr vs. Domain Fronting

Domain Fronting(2015)Underminr
手法SNI 寫 A,Host 寫 BDNS 查 A,SNI 與 Host 指向 B
防禦方式要求 SNI 與 Host 一致(Google/Amazon/微軟已封堵)繞過上述防線

影響規模

  • 測試全球前 500 萬個熱門網域,約 42% 受影響
  • 外推估計:全球約 8,800 萬個網域曝露
  • 漏洞網站:https://underminr.ai/

緩解建議

網域持有者:

  • 至 underminr.ai 查詢自身網域是否受影響
  • 啟用 CDN 租戶隔離機制
  • 將關鍵服務部署於專用 IP 及專用邊緣容量

企業 IT:

  • 同時檢查 DNS、SNI 與 HTTPS Host 標頭
  • 在 DNS 與 SNI 層封鎖已知遭濫用網域

衍生頁面