Underminr: nova vulnerabilidade em CDNs compartilhadas permite esconder C2 atrás de domínios confiáveis

Pesquisadores da ADAMnetworks divulgaram uma nova vulnerabilidade batizada de Underminr, que afeta cerca de 88 milhões de domínios hospedados em infraestrutura de CDN compartilhada. A falha permite que invasores escondam conexões maliciosas atrás de nomes confiáveis, contornando filtros de DNS e mascarando tráfego de comando e controle. Os ataques já foram observados em campanhas reais, e a expectativa é que o problema se torne padrão em malware gerado por IA.

O que aconteceu

O Underminr é descrito como uma variante moderna do antigo domain fronting, técnica que, há alguns anos, permitia que invasores escolhessem um domínio confiável para aparecer no SNI e na validação do certificado TLS, enquanto embutiam um destino diferente no cabeçalho HTTP Host dentro do túnel cifrado. A maioria das CDNs implementou mitigações para o caso clássico, mas a nova abordagem encontrou uma brecha estrutural na forma como as plataformas tratam o roteamento entre múltiplos clientes hospedados em um mesmo edge.

Em vez de depender de um domínio “fronte” explícito, o Underminr apresenta SNI e Host de um domínio aceito, mas força a conexão para o endereço IP de outro inquilino na mesma borda compartilhada. Com isso, do ponto de vista do filtro de DNS protetivo (PDNS) ou da inspeção de tráfego, tudo parece legítimo — o destino real só se materializa internamente, dentro da rede da CDN.

Segundo a ADAMnetworks, a técnica já vem sendo explorada por agentes de ameaça em ataques contra grandes provedores de hospedagem, incluindo aqueles que se acreditavam imunes após as correções aplicadas para conter o domain fronting tradicional.

Detalhes técnicos da exploração

A vulnerabilidade pode ser explorada por quatro estratégias distintas para evadir o Protective DNS, todas baseadas no mesmo princípio: aproveitar a falta de correlação entre as decisões tomadas em camadas separadas — resolução DNS no endpoint, IPs de borda, SNI, cabeçalho HTTP Host e roteamento interno entre tenants da CDN. Quando esses sinais não são analisados em conjunto, o atacante consegue construir uma conexão em que cada camada, vista isoladamente, soa legítima, mas o conjunto resulta em comunicação com um destino malicioso.

O cenário típico envolve conexões TCP na porta 443, em que o SNI revela o nome TLS pretendido. As campanhas observadas usam aplicativos maliciosos, shell scripts e até integração com táticas modernas de engenharia social, como o ClickFix, em que a vítima é induzida a executar comandos copiados do navegador. Ao explorar o Underminr nessa cadeia, o operador consegue se comunicar com servidores de C2, túneis VPN clandestinos e proxies de exfiltração sem deixar rastros óbvios nas listas de bloqueio convencionais.

“Essa abuso permite que conexões que aparentam ir para um domínio confiável de fato se conectem a outro domínio que pode ser usado para fins maliciosos”, explica a ADAMnetworks em sua análise.

Quem é afetado

• Domínios: aproximadamente 88 milhões hospedados em infraestrutura de CDN compartilhada potencialmente vulneráveis.
• Regiões mais expostas: Estados Unidos, Reino Unido e Canadá, onde se concentra parte expressiva da infraestrutura de borda mais utilizada por empresas.
• Operações afetadas: equipes que dependem de Protective DNS, filtros de URL baseados em reputação e listas de domínios confiáveis para frear comunicação de malware perdem capacidade de detecção quando a técnica é empregada.
• Cenários de risco direto: ambientes corporativos com BYOD, redes de filiais sem inspeção profunda de TLS e infraestruturas com egress liberado para nuvens “confiáveis” baseadas apenas no hostname.

Análise

O ressurgimento de técnicas tipo domain fronting é uma confirmação de que controles baseados puramente em reputação de domínio têm limites estruturais difíceis de eliminar. Quando a confiança é atribuída a um nome e não ao fluxo real de bytes, qualquer descolamento entre identidade declarada e destino real cria espaço para abuso. O caso Underminr lembra esquemas que vimos em campanhas estatais nos últimos anos, em que grupos APT abusaram de plataformas como Azure, Google e AWS para esconder C2 — mas a nova abordagem amplia esse universo para qualquer CDN com tenants compartilhados, o que é praticamente todas as principais.

Talvez a previsão mais inquietante venha do próprio CEO da ADAMnetworks, David Redekop, que aponta o uso da técnica como peça típica em malware gerado por IA: “Uma vez que o Underminr se torne informação paramétrica para malware gerado por IA, podemos esperar vê-lo em todo ataque que precise evadir o DNS protetivo.” Em outras palavras, o que hoje é técnica de grupo avançado pode, em pouco tempo, ser ferramenta padrão de qualquer payload automatizado, o que multiplica o problema. Defensores que ainda dependem de uma única camada de filtragem DNS para conter ameaças terão que repensar o modelo.

Recomendações práticas

• Implemente inspeção de TLS em pontos críticos da rede e, sempre que possível, force correlação entre DNS, IP de destino, SNI e Host HTTP antes de permitir a sessão.
• Considere mover o controle de egress de “lista de domínios confiáveis” para um modelo de zero trust com avaliação contínua de risco por sessão, não apenas por nome.
• Para CDNs e hyperscalers internos, audite o roteamento entre tenants e exija coerência estrita entre SNI, Host e tenant alvo — divergências devem gerar erro, não roteamento silencioso.
• Atualize regras de detecção em SIEM/EDR para identificar conexões em que o IP de destino não pertence ao prefixo associado ao domínio resolvido por DNS.
• Em ambientes com Protective DNS, complemente a defesa com inspeção de tráfego em saída e análise comportamental de processos que iniciam conexões TLS para CDNs.
• Para times de blue team, simule o Underminr em exercícios de red team e valide se as ferramentas de detecção atuais identificam a discrepância entre SNI e destino real.

Fonte: SecurityWeek