Lỗ hổng 'Underminr' giúp tin tặc ẩn kết nối độc hại đằng sau các tên miền uy tín

Các tác nhân đe dọa đang khai thác một lỗ hổng trong cơ sở hạ tầng Mạng phân phối nội dung (CDN) dùng chung để ẩn các kết nối đến tên miền độc hại.

Được đặt tên là Underminr, vấn đề này thực chất là một biến thể của kỹ thuật "domain fronting" (ẩn tên miền) – một kiểu tấn công từng được khắc phục trước đây. Domain fronting cho phép tin tặc đặt một tên miền được phép vào các trường SNI và xác thực chứng chỉ TLS của yêu cầu HTTPS, đồng thời nhúng một tên miền đích khác vào phần tiêu đề máy chủ HTTP được mã hóa của đường hầm TLS.

Do các CDN định tuyến yêu cầu nội bộ dựa trên các tiêu đề máy chủ (host headers), yêu cầu sẽ đến được đích ẩn, trong khi lưu lượng truy cập lại có vẻ như đang đi đến một tên miền mặt nạ uy tín.

Underminr DNS vulnerability

Thay vì sử dụng một tên miền mặt nạ, Underminr trình bày SNI và HTTP Host của một tên miền nhưng lại ép buộc yêu cầu đến địa chỉ IP của một "khách thuê" (tenant) khác nằm trên cùng một cạnh mạng (edge) chia sẻ.

Theo báo cáo từ ADAMnetworks, sự không khớp này đã bị khai thác trong các cuộc tấn công nhắm vào các nhà cung cấp dịch vụ lưu trữ quy mô lớn, bao gồm cả những đơn vị đã áp dụng các biện pháp giảm thiểu đối với domain fronting.

"Sự lạm dụng này cho phép các kết nối có vẻ như đang đi đến một tên miền đáng tin cậy nhưng thực tế lại kết nối đến một tên miền khác có thể được dùng với ý định độc hại," công ty bảo mật web này giải thích.

Ẩn nấp và lẩn tránh hệ thống

Tin tặc có thể lạm dụng Underminr để ẩn các kết nối đến máy chủ chỉ huy và điều khiển (C&C), cũng như các kết nối VPN và proxy, đồng thời vượt qua các chính sách luồng ra (egress policies) của mạng.

"Ở dạng đơn giản, khoảng cách phát hiện xuất hiện khi các quyết định DNS, IP cạnh, SNI, tiêu đề Host và định tuyến khách thuê CDN không được tương quan với nhau. Điểm cuối nhìn thấy một truy vấn DNS được phép trong khi kết nối có thể hoàn thành đối với một tên máy chủ được lưu trữ khác," ADAMnetworks cho biết.

Theo công ty này, kỹ thuật tấn công đã bị lạm dụng để kết nối đến các tên miền được lưu trữ trên hạ tầng CDN chia sẻ với các tên miền được phép, chủ yếu thông qua các kết nối TCP trên cổng 443, nơi SNI lộ ra tên máy chủ TLS dự định.

Lỗ hổng Underminr có thể được khai thác bằng bốn chiến lược khác nhau để vượt qua dịch vụ DNS Bảo vệ (Protective DNS - PDNS) – một dịch vụ giám sát và lọc truy vấn DNS.

Trong các tình huống thực tế, tin tặc có thể tung ra các cuộc tấn công sử dụng các ứng dụng độc hại và tập lệnh shell (shell scripts). ADAMnetworks cũng cho biết lỗ hổng này có thể bị lạm dụng trong các cuộc tấn công ClickFix.

Quy mô ảnh hưởng và mối đe dọa từ AI

Ước tính có khoảng 88 triệu tên miền có khả năng bị ảnh hưởng bởi Underminr, trong đó hạ tầng internet tại Mỹ, Anh và Canada chịu tác động nặng nề nhất. Sự phụ thuộc ngày càng tăng của tin tặc vào AI dự kiến sẽ dẫn đến sự gia tăng các cuộc tấn công loại này.

"Một khi Underminr trở thành thông số tham số cho phần mềm độc hại do AI tạo ra, chúng ta có thể mong đợi thấy nó xuất hiện trong mọi cuộc tấn công cần lẩn tránh DNS bảo vệ như một phần trong chuỗi tấn công," ông David Redekop, CEO của ADAMnetworks nhận định.