حمله Underminr با سوءاستفاده از زیرساخت CDN، امکان جعل برند وب‌سایت‌ها را فراهم می‌کند

محققان امنیت سایبری نسبت به یک اکسپلویت زیرساختی در معماری اینترنت هشدار داده‌اند که می‌تواند نزدیک به نیمی از وب‌سایت‌های جهان را در معرض سوءاستفاده مهاجمان قرار دهد. به‌گفته پژوهشگران، این تهدید که با نام حمله Underminr شناخته می‌شود، نسخه تکامل‌یافته تکنیک پنهان‌سازی دامنه (Domain Fronting) است و به مهاجمان اجازه می‌دهد با سوءاستفاده از نحوه تعامل شبکه‌های توزیع محتوا (CDN) و سامانه نام دامنه (DNS)، ترافیک مخرب را پشت دامنه‌های معتبر پنهان کرده و مکانیزم‌های امنیتی را دور بزنند. پژوهشگران هشدار می‌دهند حمله Underminr علاوه بر پنهان‌سازی فعالیت‌های مخرب، می‌تواند برای اجرای عملیات فرماندهی و کنترل (C2)، فیشینگ و استخراج داده با سوءاستفاده از اعتبار برند وب‌سایت‌های قانونی مورد استفاده قرار گیرد.

سازوکار فنی حمله Underminr در دور زدن CDNها

Underminr در واقع نسخه تکامل‌یافته از تکنیک قدیمی Domain Fronting محسوب می‌شود؛ تکنیکی که در آن مهاجم با دستکاری هدر میزبان HTTP (HTTP Host Header) ، مقصد واقعی ترافیک وب را از دید زیرساخت‌های امنیتی پنهان می‌کند. اگرچه بسیاری از ارائه‌دهندگان CDN از سال 2018 اقدام به محدودسازی این تکنیک کردند، اما پژوهشگران شرکت ADAMnetworks معتقدند مهاجمان اکنون با سوءاستفاده از عدم تطابق میان اطلاعات DNS و فیلد شناسه نام سرور (SNI) در فرآیند TLS، همان قابلیت را دوباره احیا کرده‌اند.

در سناریوی این حمله:

• مهاجم ابتدا یک درخواست DNS معتبر برای یک دامنه قانونی ثبت می‌کند.
• فیلترهای امنیتی DNS این درخواست را قانونی تشخیص می‌دهند.
• سپس در لایه CDN، مقصد واقعی ترافیک تغییر داده می‌شود.
• در نهایت، کاربر یا سامانه به سرویس مخرب روی همان Edge IP هدایت می‌گردد.

از آنجا که DNS و CDN اعتبارسنجی متقابل ندارند، این تغییر مسیر در حمله Underminr بدون هشدار رخ می‌دهد و مهاجم می‌تواند ارتباطات C2 و فیشینگ را پشت نام‌های معتبر پنهان کند.

ضعف معماری CDNها در اعتبارسنجی ترافیک شبکه

امروزه بسیاری از وب‌سایت‌ها برای بهبود عملکرد و کاهش تأخیر، پشت CDNها قرار می‌گیرند؛ ساختاری که در آن صدها یا حتی هزاران دامنه روی یک Edge IP مشترک میزبانی می‌شوند. مشکل اصلی از آنجا آغاز می‌شود که سامانه‌های DNS و CDN به‌صورت ایزوله (Silo) عمل می‌کنند و اعتبارسنجی متقابل میان آن‌ها وجود ندارد. این ضعف طراحی، زمینه سوءاستفاده مهاجمان از حمله Underminr را فراهم می‌کند؛ به‌گونه‌ای که مهاجم می‌تواند ابتدا یک درخواست معتبر برای دامنه‌ای قانونی ارسال کرده و سپس در مسیر CDN، ترافیک را به مقصد مخرب تغییر دهد.

از آنجا که بسیاری از CDNها دامنه‌های معتبر و ناشناس را روی زیرساخت مشترک قرار می‌دهند، شناسایی این عملکرد توسط:

• فیلترهای امنیتی DNS
• سامانه‌های مبتنی بر امضا
• مکانیزم‌های تحلیل عملکردی

بسیار دشوار خواهد بود.

ابعاد گسترده ریسک ناشی از حمله Underminr

بررسی‌های ADAMnetworks روی پنج میلیون وب‌سایت برتر اینترنت نشان می‌دهد که:

• حدود 42 درصد وب‌سایت‌های جهان در معرض سوءاستفاده از این تکنیک قرار دارند.
• این رقم در ایالات متحده به 51 درصد می‌رسد.
• در چین، کمتر از 9 درصد  دامنه‌ها در معرض ریسک هستند.

این آمار ثابت می‌کند که مسئله، ضعف ذاتی اینترنت نیست بلکه نتیجه‌ی طراحی نامناسب معماری CDN است. مهاجمان با سوءاستفاده از حمله Underminr می‌توانند ترافیک مخرب، C2، کمپین‌های فیشینگ و حتی عملیات استخراج داده را پشت دامنه‌های معتبر پنهان کرده و شناسایی فعالیت‌های مخرب را برای سامانه‌های امنیتی دشوار کنند.

راهکارهای کاهش ریسک

برخی ارائه‌دهندگان CDN با رویکرد امنیت‌محور، برای کاهش احتمال حمله  Underminr رویکردی به نام Bucketizing را پیاده کرده‌اند؛ در این مدل، دامنه‌ها براساس اعتبار و شهرت (Reputation) دسته‌بندی می‌شوند.

در این معماری:

• دامنه‌های معتبر در زیرساخت مجزا قرار می‌گیرند.
• دامنه‌های تازه‌ثبت‌شده یا ناشناخته در گروه جدا میزبانی می‌شوند.
• ریسک اشتراک IP بین دامنه‌های قانونی و مخرب کاهش می‌یابد.

به گفته David Redekop، مدیرعامل ADAMnetworks، سازمان‌هایی که قصد محافظت از اعتبار دامنه و زیرساخت خود را دارند، باید در انتخاب ارائه‌دهنده CDN بازنگری کنند؛ بهترین راه، انتخاب CDNهایی است که با طراحی ایمن خود مانع بروز این اکسپلویت‌های زیرساختی می‌شوند.

منابع