TokyoBlackHatNews

gbhackers.com 5分で読了

ハッカーが共有CDNを悪用してドメイン評価フィルターを回避

ハッカーが「Underminr」と呼ばれる新たに特定された技術を使用して、共有コンテンツデリバリーネットワーク(CDN)インフラを悪用し、ドメイン評価ベースのセキュリティ管理をバイパスする動きが急増しています。

Underminrは従来のソフトウェアの脆弱性ではなく、現代的なCDNがマルチテナントトラフィックを処理する方法における固有の弱点です。CloudflareやAkami、AWS CloudFront、FastlyなどのCDNプロバイダは、何百万ものドメインのトラフィックを共有エッジインフラストラクチャ経由でルーティングします。

攻撃者は、高い評判を持つサービスで使用されているのと同じCDNプラットフォームに独自のドメインを登録することで、この設計を悪用します。

攻撃者は、TLSハンドシェイク中にHTTPホストヘッダーまたはサーバー名表示(SNI)を操作することで、正当で信頼できるドメインをターゲットとしているように見えるリクエストを作成しながら、実際には攻撃者が制御するバックエンドにトラフィックをルーティングすることができます。

多くのセキュリティツールがドメイン評判やSNI検査に大きく依存しているため、これらの接続は多くの場合、安全に分類されてしまいます。

典型的な攻撃シナリオでは、脅威行為者がCDNプロバイダにドメインを登録します。その後、SaaSプロバイダなどの広く知られた信頼できるドメインのSNIを使用してトラフィックを生成しながら、リクエストに悪意のあるペイロードを埋め込みます。CDNは内部ロジックに基づいてリクエストをルーティングし、攻撃者のバックエンドがそれを処理できるようにします。

Rescanaのセキュリティ研究者は、このアーキテクチャ上の弱点により、攻撃者は悪意のあるトラフィックを信頼できるドメインの背後に隠すことができ、従来のセキュリティツールによる検出がはるかに困難になると警告しています。

接続は正当なドメインに向けられているように見えるため、ファイアウォール、セキュアウェブゲートウェイ、侵入検知システムなどのペリメータ防御はトラフィックを通過させます。

これにより、攻撃者はマルウェアの配信、フィッシングキャンペーンの実施、コマンド・アンド・コントロール(C2)チャネルの確立を、アラートを引き起こさずに実行できます。

SNIとホストヘッダー間の不一致に依存する従来のドメインフロンティングとは異なり、Underminrは本来のCDNマルチプレックス動作を活用します。これにより、規模と有効性が大幅に拡大します。ADAMnetworksによると、8,800万以上のドメインがこのリスクにさらされている可能性があります。

Underminrの積極的な悪用はADAMnetworksによって確認され、SecurityWeekおよびSC Magazineによって報道されています。脅威行為者は既にこの技術を活用して検出を回避し、悪意のあるトラフィックを正当なビジネス通信と混合させています。

観測されている戦術は以下の通りです。

  • 信頼できるCDNおよびSaaSドメインを悪意のあるインフラストラクチャのカバーとして使用する。
  • 偽装された接続を通じてフィッシングペイロードを配信する。
  • 弾力的でステルス性の高いC2チャネルを確立する。
  • HTTP/2マルチプレックスを活用して、悪意のあるトラフィックと良好なトラフィックをインターリーブする。

例えば、攻撃者は広く知られたクラウドサービスに接続しているように見えるリクエストを作成しながら、トラフィックを悪意のあるエンドポイントにサイレントにリダイレクトしているのが目撃されています。これにより、長期的な永続性とステルス性の高いデータ流出が可能になります。

具体的な高度な持続的脅威(APT)グループがUnderminr悪用に公式に帰属されていませんが、この技術はAPT29やAPT41などのグループが使用する戦術と密接に類似しています。

これらの行為者は、検出を回避し、秘密の通信チャネルを維持するためにCDN悪用とドメインフロンティングを歴史的に使用してきました。

Underminrが提供するスケーラビリティとステルス性は、国家が後援する脅威行為者と金銭的に動機づけられた脅威行為者の両方にとって魅力的です。

Underminrは、特定のソフトウェアバージョンではなく、共有CDNインフラストラクチャに影響を与えるアーキテクチャ上の問題です。共有CDN環境でホストされているすべてのドメインがリスクにさらされている可能性があります。

影響を受けるプロバイダは以下の通りです。

  • Cloudflare。
  • Akamai。
  • AWS CloudFront。
  • Fastly。

2026年5月の時点で、CVE識別子は割り当てられていません。

対策

Underminrの軽減には、基本的なドメイン評価フィルタリングを超える必要があります。推奨される対策は以下の通りです。

  • ディープパケット検査を実装して、SNI、ホストヘッダー、および期待されるエンドポイント間の一貫性を検証する。
  • 高い評判を持つドメインに関する異常なトラフィックパターンを監視する。
  • 行動分析をデプロイして、暗号化されたトラフィックの異常を識別する。
  • CDN構成をレビューして、共有テナントリスクへの露出を最小化する。
  • 研究者によって特定された攻撃者が制御するドメインを含む脅威インテリジェンスフィードを統合する。

組織は、多くのプロバイダがクロステナント悪用を減らすためのアーキテクチャ改善を検討しているCDNプロバイダと密接に協力することも推奨されます。

攻撃者が広く使用されているインターネットインフラストラクチャへの信頼を引き続き悪用している中で、Underminrは、現代的なネットワーク環境全体における深い可視性とより文脈を認識したセキュリティ管理の必要性を強調しています。

翻訳元: https://gbhackers.com/hackers-exploit-shared-cdns/

ソース: gbhackers.com
#APT29 #C2通信 #CDN脆弱性 #Cloudflare #Underminr #セキュリティ脅威 #ドメイン悪用 #マルウェア配信 #暗号化トラフィック #検出回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚