出典: hernandez jose maria via Alamy Stock Photo
研究者らは、インターネットインフラストラクチャ自体に固有されている脆弱性の一種について警告を発しており、簡単な修正方法がなく、世界中のほぼ半数のウェブサイトがリスクにさらされています。
概念的には、この問題は「ドメインフロンティング」の後継であり、2010年代半ばに人気のあったインターネットルーティングの簡単なトリックです。ドメインフロンティングにより、ウェブ利用者はドメインネームシステム(DNS)およびコンテンツデリバリーネットワーク(CDN)プロバイダーに対して、あるウェブサイトにアクセスしていると告知しながら、実は別のサイトにリダイレクトされるようにしていました。これはウェブリクエスト内のHTTP Hostヘッダーという1つのフィールドを切り替えるだけで可能でした。2018年に十分な注目を集め、CDNはそのほとんどを軽減してきました。
「Underminr」と呼ばれる新しい問題は、これらの軽減策を回避し、全く同じ影響をもたらします。ドメインフロンティングはしばしば検閲回避と関連付けられていますが、ADAMnetworksのアナリストはより悪質な用途を指摘しています。攻撃者が正当なウェブサイトのブランド評判を乗っ取ることで、オンライン上の悪意のある活動を隠すことを可能にするというものです。
彼らの報告によれば、ハッカーは既にUnderminrを悪用しており、あなたのウェブサイトは彼らの目的に利用される可能性が高いです。ADAMnetworksは、ウェブサイトの42%が脆弱性を持ち、米国ではその数が51%に上昇することを発見しました。
Underminrの理解
学校に戻り、YouTubeの説明や、インターネットがどのように機能するかについて最初に学んだ場所を思い出してください。当時、あなたが特定のウェブサイト(例えばdarkreading.com)へのアクセスをリクエストすると、そのリクエストはドメインネームシステム(DNS)サーバーに転送され、そこがその人間が読める形式のドメインをウェブサイトのサーバーに関連付けられたIPアドレス(例:104.16.224.171)に解決することを学びました。
今日では、状況はより複雑です。多くの現在のウェブサイトと同様に、darkreading.comは大規模なコンテンツデリバリーネットワーク(CDN)の背後に位置しており、その場合Cloudflareです。Cloudflareは多くのドメインをエッジIPアドレス104.16.224.171の背後にグループ化しています。darkreading.comへのアクセスを試みると、104.16.224.171に到達し、その後Cloudflareはあなたのリクエストに含まれる2つの他のフィールドを使用してアクセスしようとしているサイトを判断します。それらのフィールドは、トランスポートレイヤーセキュリティ(TLS)ハンドシェイクプロセスに属するサーバー名識別(SNI)と、その後に続くリクエストの暗号化された部分内のHTTP Hostヘッダーです。
ADAMnetworksが特定した問題は、この図の2つの弱点に基づいています。まず、DNSおよびCDNシステムは比較的孤立して動作しています。前者がその仕事をし、後者にバトンを渡し、相互参照しません。次に、CDNはしばしば比較的確立された信頼できるドメインと比較的新しい信頼できないドメインを同じエッジIPの背後にグループ化します。
これにより、攻撃者は104.16.224.171で完全に信頼できるドメイン(darkreading.comなど)のDNSルックアップを実行できます。保護的なDNSフィルターは、リクエストを完全に正当だと見なし、通過させます。次に、CDNが読み取るフィールドで、攻撃者は同じエッジIPアドレスでホストされている完全に異なるウェブサイトにアクセスしたいことを示すことができます。DNSまたはCDNプロバイダーのどちらも、他方が同じリクエストを異なる方法で解釈したことを見ません。交換されたウェブサイトが悪意のあるものであっても、大規模なCDNはしばしばそれを見抜くことができず、レッドフラグやアラートを避けています。
結局のところ、攻撃者は盾のように信頼できるサイトを通じて悪意のあるサイトへのトラフィックをフィルターできます。そこから彼らは何でもできます。詐欺を実行し、悪意のあるコマンドアンドコントロール(C2)操作を実行し、被害者からデータを流出させます。一方で、信頼できるドメインを利用してDNS、シグネチャ、および動作ベースの検出を回避します。その一方で、悪意のあるサイバー活動に関連することで、信頼できるサイトはブランド評判の喪失と多くの他のビジネス、法的、および物流上の問題に直面しています。
CDNアーキテクチャはUnderminrのリスクを決定する
Underminrの影響範囲を評価するために、ADAMnetworksはウェブ上の上位500万個のドメインをスキャンしました。結果: ほぼ半数のウェブサイトが露出しています。
しかし、これらのウェブサイトは均等に分布していません。米国では、すべてのサイトの約半数がリスクにさらされています。東ヨーロッパでは3分の1。中国の過度に規制されたインターネットでは、9%未満です。この不均衡は、Underminrがインターネットの逃れられない現実ではなく、設計上の欠陥であることを明かしています。
ただし、ウェブサイトの完全性を保護するCDNを見つけるために中国までわざわざ行く必要はありません。多くの匿名クライアントにサービスを提供しないブティック的でセキュリティに焦点を当てたプロバイダーはリスクを排除します。より大きなプロバイダーが顧客を保護するためにできることのモデルについては、Fastlyを見てもよいかもしれません。「彼らは10年前に存在していたドメインフロンティングの問題を修正するゲームに遅れました」とADAMnetworksのCEOであるDavid Redekopは回想しています。遅いスタートを切った一方で、彼は「彼らは顧客の等級を作成することで、または私が『バケット化』と呼ぶものによって、最も上手く修正しました」と述べています。
バケット化(Redekopが公式な名前を持たない現象に対して使用する造語)は、Fastlyのようなプロバイダーが意図的にドメインをその評判に基づいてグループ化する慣行です。「Fastlyは言いました。『ご存じですか? ニューヨークタイムズとガーディアンは、それらを1つのバケットに一緒に入れましょう。しかし、Fastly CDNサービスを購入している新しいドメイン名がある場合は、それを他の新しいドメイン名と一緒に入れましょう」とRedekopは説明しています。
ドメインを評判によってバケット化することで、Fastlyは同じIPがニューヨークタイムズのホームページと悪意のあるC2サーバーをホストするリスクを大幅に削減しました。それは技術的にはドメインフロンティングを防ぐものではありませんでしたが、確かにそれのすべての魅力を吸い取りました。ドメインフロンティングとUnderminrはほぼ正確に同じ問題であり、1つの小さな違い(一致しないSNIおよびHTTP Hostフィールドの代わりに、一致しないフィールドがSNIおよびDNS)を除いて、Underminrにも同じ影響をもたらしました。今日、すべてのFastlyの顧客はUnderminrのリスクにさらされていますが、彼らができることがnytimes.comをtheguardian.comに交換することだけである場合、それは重要ですか?
Redekopは、組織がサイトを保護したい場合、本当に1つの行動方針しかないことを強調しています。「彼らが自分のドメイン名について何かしたい場合」と彼は言います。「彼らがすることができるのは、Underminrを可能にするコンテンツデリバリーネットワークからそれを移動することです。」
翻訳元: https://www.darkreading.com/cyber-risk/content-delivery-exploit-websites-brand-hijacking
