آسیب‌پذیری Underminr به مهاجمان اجازه می‌دهد ارتباطات مخرب را پشت دامنه‌های معتبر پنهان کنند

آسیب‌پذیری Underminr یک تکنیک نوظهور برای سوءاستفاده از زیرساخت‌های اشتراکی شبکه توزیع محتوا (CDN) است که به مهاجمان اجازه می‌دهد ترافیک مخرب را در قالب دامنه‌های معتبر پنهان کنند. این آسیب‌پذیری با بهره‌گیری از ناهماهنگی میان سامانه نام دامنه (DNS)، پروتکل امنیت لایه انتقال (TLS) و مکانیزم‌های مسیریابی در لبه شبکه (Edge Routing)، قادر است برخی کنترل‌های امنیتی مبتنی بر DNS و دفاع‌های طراحی‌شده برای مقابله با تکنیک Domain Fronting را دور بزند.

بر اساس گزارش شرکت ADAMnetworks، آسیب‌پذیری Underminr در مقیاسی گسترده قابل سوءاستفاده است و حدود 88 میلیون دامنه را به‌طور بالقوه تحت تأثیر قرار می‌دهد. در چنین شرایطی، مهاجمان می‌توانند اتصال به سرورهای فرماندهی و کنترل (C2)، ارتباطات VPN و ترافیک عبوری از پروکسی‌ها را در قالب ترافیکی ظاهراً قانونی پنهان کنند.

نحوه عملکرد آسیب‌پذیری Underminr

آسیب‌پذیری Underminr یک واریانت پیشرفته از تکنیک Domain Fronting محسوب می‌شود؛ روشی که در آن مهاجم یک دامنه مجاز را در فیلدهای شناسه نام سرور (SNI) و فرآیند اعتبارسنجی گواهی پروتکل TLS قرار می‌دهد، در حالی که مقصد واقعی ارتباط را در هدر میزبان HTTP (HTTP Host Header) داخل تونل رمزگذاری‌شده پنهان می‌کند.

در مدل کلاسیک Domain Fronting، شبکه‌های CDN درخواست‌ها را بر اساس هدر میزبان به‌صورت داخلی مسیریابی می‌کنند؛ به‌طوری که ترافیک در ظاهر به یک دامنه معتبر ارسال می‌شود، اما در عمل به مقصدی متفاوت هدایت می‌گردد.

Underminr این سازوکار را یک گام فراتر می‌برد. در این روش، مهاجم به‌جای استفاده از Front Domain به شیوه سنتی، مقادیر SNI و هدر میزبان HTTP مربوط به یک دامنه معتبر را حفظ می‌کند، اما درخواست را به آدرس IP متعلق به یک محیط سازمانی دیگر (Tenant) در همان زیرساخت لبه مشترک (Shared Edge Infrastructure) هدایت می‌کند. این ناهماهنگی میان اطلاعات DNS، پارامترهای TLS و مکانیزم مسیریابی CDN، شرایطی را فراهم می‌کند که مهاجم بتواند مقصد واقعی ترافیک را از دید سامانه‌های امنیتی پنهان کند.

پنهان‌سازی ارتباطات مخرب در پوشش دامنه‌های معتبر

خطر اصلی آسیب‌پذیری Underminr در این است که اتصال از دید سامانه‌های امنیتی، ظاهراً به یک دامنه مورد اعتماد انجام می‌شود، در حالی که مقصد واقعی آن می‌تواند یک دامنه مخرب یا زیرساختی تحت کنترل مهاجم باشد.

به گفته ADAMnetworks، این حمله زمانی رخ می‌دهد که میان جستوجویDNS ، آدرس IP لبه شبکه، SNI، هدر میزبان و مکانیزم مسیریابی Tenantها در CDN همبستگی و تطبیق مؤثر وجود نداشته باشد. در چنین شرایطی، سیستم امنیتی در سطح Endpoint یک درخواست DNS کاملاً مجاز را مشاهده می‌کند، اما اتصال نهایی ممکن است به دامنه‌ای متفاوت هدایت شود؛ موضوعی که شناسایی ترافیک مخرب را به‌مراتب دشوارتر می‌کند.

این شکاف تشخیصی پیامدهای متعددی به همراه دارد:

پنهان‌سازی اتصال با سرورهای C2: مهاجمان می‌توانند اتصال با سرورهای C2 را در قالب ارتباط با دامنه‌های مجاز پنهان کنند.
دور زدن کنترل‌های ترافیک خروجی: سازمان‌هایی که به سیاست‌های کنترل ترافیک خروجی (Network Egress Policies) متکی هستند، ممکن است دید کافی نسبت به مقصد واقعی اتصالات نداشته باشند.
پنهان‌سازی اتصالات VPN و پروکسی: این تکنیک می‌تواند برای پنهان‌سازی اتصالات VPN و پروکسی نیز مورد استفاده قرار گیرد.
کاهش اثربخشی دفاع‌های ضد Domain Fronting: حتی برخی ارائه‌دهندگان سرویس‌های بزرگ میزبانی که پیش‌تر راهکارهای مقابله با Domain Fronting را پیاده‌سازی کرده‌اند نیز در برابر این روش مصون نیستند.

دور زدن سامانه‌های Protective DNS

یکی از مهم‌ترین قابلیت‌های آسیب‌پذیری Underminr، توانایی آن در عبور از سامانه‌های محافظتی نام دامنه (Protective DNS) است. بر اساس گزارش ADAMnetworks، مهاجمان می‌توانند با استفاده از چهار روش مختلف از این ضعف سوءاستفاده کنند و اثربخشی سامانه‌های نظارت و فیلترینگ درخواست‌های DNS را کاهش دهند.

در سناریوهای واقعی، این تکنیک از مسیرهای مختلفی مورد استفاده قرار می‌گیرد:

اپلیکیشن‌ها و ابزارهای مخرب: بدافزارها و ابزارهای سفارشی می‌توانند از این روش برای برقراری ارتباط مخفیانه با زیرساخت مهاجم استفاده کنند.
اسکریپت‌های Shell: مهاجمان قادرند این تکنیک را از طریق اسکریپت‌های خط فرمان در محیط‌های هدف پیاده‌سازی کنند.
حملات ClickFix: طبق گزارش ADAMnetworks، این روش در حملات ClickFix نیز قابل سوءاستفاده است و می‌تواند فراتر از سناریوهای سنتی بدافزاری مورد استفاده قرار گیرد.

میلیون‌ها دامنه در معرض ریسک

بر اساس برآوردهای منتشرشده، حدود 88 میلیون دامنه به‌طور بالقوه تحت تأثیر آسیب‌پذیری Underminr قرار دارند. بررسی‌ها نشان می‌دهد بیشترین میزان تأثیر نیز متوجه زیرساخت‌های اینترنتی در ایالات متحده، بریتانیا و کانادا است.

ابعاد این تهدید نشان می‌دهد که سوءاستفاده از این تکنیک تنها به چند سرویس یا ارائه‌دهنده محدود نیست و می‌تواند بخش قابل‌توجهی از زیرساخت‌های میزبانی و توزیع محتوا را تحت تأثیر قرار دهد.

نقش هوش مصنوعی در گسترش آسیب‌پذیری Underminr

یکی از نگران‌کننده‌ترین ابعاد این موضوع، احتمال استفاده گسترده از آسیب‌پذیری Underminr در بدافزارهای مبتنی بر هوش مصنوعی است. به گفته David Redekop، مدیرعامل ADAMnetworks، تبدیل شدن این تکنیک به بخشی از قابلیت‌های رایج بدافزارهای مبتنی بر هوش مصنوعی، زمینه استفاده گسترده از آن در حملات نیازمند دور زدن سامانه‌های Protective DNS را فراهم خواهد کرد.

این هشدار از آن جهت اهمیت دارد که مهاجمان سایبری به‌طور فزاینده‌ای از هوش مصنوعی برای خودکارسازی مراحل مختلف حمله، از شناسایی اهداف گرفته تا توسعه کد مخرب(payload) ، شخصی‌سازی حملات و بهبود تکنیک‌های فرار از شناسایی استفاده می‌کنند. در چنین شرایطی، این تکنیک می‌تواند از یک روش تخصصی به بخشی ثابت از زنجیره حملات سایبری و بدافزارهای نسل جدید تبدیل شود.

منابع

https://www.securityweek.com/underminr-vulnerability-lets-attackers-hide-malicious-connections-behind-trusted-domains/