Die Funktionsweise von Underminr offenbart ein grundlegendes Designproblem in der Art und Weise, wie das Internet heute funktioniert. Um es zu verstehen, muss man zunächst wissen, wie Content Delivery Networks (CDNs) arbeiten: Wenn Sie beispielsweise darkreading.com besuchen, leitet ein DNS-Server Sie zu einer IP-Adresse weiter – etwa 104.16.224.171 – die hinter Cloudflare liegt. Da Cloudflare tausende Domains hinter der gleichen IP-Adresse verwaltet, benötigt es zusätzliche Informationen, um zu wissen, welche Website Sie eigentlich besuchen möchten. Diese Informationen werden über zwei Kanäle übermittelt: das Server Name Identification (SNI) während des TLS-Handshakes und das HTTP-Host-Header-Feld in der verschlüsselten Anfrage.
Das Problem bei Underminr liegt in einer subtilen Sicherheitslücke: DNS-Provider und CDN-Provider arbeiten in weitgehend isolierten Silos. Der DNS-Provider verifiziert, dass Sie zu einer legitimen Website (etwa darkreading.com) wollen und gibt die Anfrage weiter. Der CDN-Provider liest dann aber möglicherweise andere Header-Felder und kann so zu einer völlig anderen, möglicherweise malware-behafteten Website umleiten – ohne dass die DNS-Filter dies bemerken. Besonders problematisch ist, dass große CDNs neue und etablierte Domains oft hinter den gleichen Edge-IPs bündeln.
Angreifer nutzen dies geschickt aus: Sie führen eine DNS-Abfrage für eine vertrauenswürdigen Domain durch (etwa nytimes.com), die ein Schutzfilter problemlos durchlässt. Dann manipulieren sie die CDN-Header, um die Anfrage tatsächlich zu ihrer bösartigen Website zu leiten. Das Ergebnis ist verheerend: Die legitime Website wird zum Schutzschild für Command-and-Control-Server, Datendiebstahl und Betrugsseiten – während gleichzeitig ihr Ruf beschädigt wird.
Bei einer Analyse der Top-fünf-Millionen-Domains zeigte sich die globale Auswirkung deutlich: 42 Prozent aller untersuchten Websites sind anfällig. Die geografische Verteilung ist bemerkenswert: In den USA sind es 51 Prozent, in Osteuropa etwa ein Drittel, während Chinas stark reguliertes Internet nur 9 Prozent anfällige Websites aufweist. Dies zeigt, dass Underminr kein unvermeidliches Naturgesetz des Internets ist, sondern ein reifizierbarer Designfehler.
Eine Lösung liegt im sogenannten “Bucketizing”, das Fastly vorgemacht hat: Der CDN-Provider gruppiert Domains bewusst nach ihrer Reputation und Geschichte. Neue, unbekannte Domains werden von etablierten Nachrichten-Websites getrennt, was Underminr-Angreifern den Anreiz nimmt, diese für ihre Zwecke zu missbrauchen. Allerdings erfordert dies erhebliche Investitionen und Umstrukturierungen bei bestehenden CDN-Anbietern.
Für Organisationen, die ihr Risiko minimieren möchten, bleibt derzeit nur eine wirkungsvolle Option: den Wechsel zu einem CDN-Provider, der robust gegen Underminr schützt – oder gar zu kleineren, sicherheitsorientierten Anbietern, die nicht mit Millionen anonymer Clients arbeiten.