Underminr濫用共享CDN架構,讓惡意連線偽裝成可信網域流量
來源: iThome | 日期: 2026-05-25 | URL: https://www.ithome.com.tw/news/176088
摘要
ADAMnetworks 揭露名為 Underminr 的新型 CDN 濫用技術,攻擊者可讓惡意連線偽裝成可信網域流量,繞過 DNS 與 SNI 層安全防線。影響全球約 8,800 萬個網域。
攻擊原理
- 受害裝置查詢可信網域 A → 取得其 CDN 邊緣 IP
- 實際連線至該 IP 時,TLS SNI 與 HTTP Host 均指向惡意網域 B(同在該 CDN 共享邊緣上)
- DNS 記錄顯示查詢的是可信網域 A → 安全系統放行
- 實際回應卻來自攻擊者控制的網域 B
用途:C2 通訊、資料外洩、代理流量偽裝成正常連線
Underminr vs. Domain Fronting
| Domain Fronting(2015) | Underminr | |
|---|---|---|
| 手法 | SNI 寫 A,Host 寫 B | DNS 查 A,SNI 與 Host 都指向 B |
| 防禦方式 | 要求 SNI 與 Host 一致(Google/Amazon/微軟已封堵) | 繞過上述防線 |
影響規模
- 測試全球前 500 萬個熱門網域,約 42% 受影響
- 外推估計:全球約 8,800 萬個網域曝露
- 漏洞網站:https://underminr.ai/
緩解建議
網域持有者:
- 至 underminr.ai 查詢自身網域是否受影響
- 啟用 CDN 租戶隔離機制
- 將關鍵服務部署於專用 IP 及專用邊緣容量
企業 IT:
- 同時檢查 DNS、SNI 與 HTTPS Host 標頭
- 在 DNS 與 SNI 層封鎖已知遭濫用網域
衍生頁面
- Underminr新型CDN濫用技術讓惡意連線偽裝成可信網域流量 — 漏洞概念頁面
- adamnetworks — 揭露者