Bei dem klassischen Domain Fronting platzierten Angreifer eine erlaubte Domain in den Feldern für SNI und TLS-Zertifikatsprüfung einer HTTPS-Anfrage, während sie im verschlüsselten HTTP-Host-Header des TLS-Tunnels eine andere Zieldomain hinterlegten. Da CDNs Anfragen intern anhand der Host-Header weiterleiteten, erreichte die Anfrage das verborgene Ziel, während der Verkehr nach außen an eine seriöse Front-Domain zu gehen schien.
Underminr verfolgt einen anderen Ansatz: Es zeigt SNI und HTTP-Host einer Domain, erzwingt die Anfrage jedoch an die IP-Adresse eines anderen Mandanten auf derselben geteilten Edge. Diese Diskrepanz, so ADAMnetworks, sei in Angriffen auf große Hosting-Anbieter ausgenutzt worden, darunter auch solche mit bereits implementierten Schutzmaßnahmen gegen Domain Fronting. „Dieser Missbrauch erlaubt Verbindungen, die scheinbar zu einer vertrauenswürdigen Domain führen, in Wahrheit aber eine andere Domain ansteuern, die für schädliche Zwecke genutzt werden könnte", erklärt das Unternehmen.
Die Erkennungslücke entsteht laut ADAMnetworks, wenn DNS-Entscheidungen, Edge-IPs, SNI, Host-Header und das Mandanten-Routing des CDN nicht miteinander abgeglichen werden. „Der Endpunkt sieht eine erlaubte DNS-Abfrage, während die Verbindung gegen einen anderen gehosteten Namen zustande kommen kann", so das Unternehmen. Missbraucht wurde die Technik demnach vor allem über TCP-Verbindungen auf Port 443, bei denen die SNI den vorgesehenen TLS-Hostnamen offenlegt, um Domains zu erreichen, die sich CDN-Infrastruktur mit erlaubten Domains teilen.
Nach Darstellung von ADAMnetworks lässt sich Underminr mit vier verschiedenen Strategien ausnutzen, um den DNS-Überwachungs- und Filterdienst Protective DNS (PDNS) zu umgehen. In der Praxis können Angreifer dabei auf schädliche Anwendungen und Shell-Skripte zurückgreifen; auch im Rahmen von ClickFix-Angriffen sei die Schwachstelle missbrauchbar.
Mit der zunehmenden Nutzung von KI durch Angreifer rechnet das Unternehmen mit einem Anstieg solcher Angriffe. „Sobald Underminr zu parametrischem Wissen für KI-generierte Schadsoftware wird, dürften wir es in jedem Angriff sehen, der als Teil der Angriffskette Protective DNS umgehen muss", sagt ADAMnetworks-Chef David Redekop.
