「Underminr」と名付けられた共有コンテンツデリバリーネットワーク(CDN)インフラにおける新たに開示された脆弱性は、悪意のある接続を信頼性の高い著名なドメインの背後に隠蔽し、保護DNS(PDNS)フィルタリングを大規模に無効化します。
2026年5月21日にカナダのゼロトラスト企業ADAMnetworksによって開示されたUnderminrは、主要なCDNプロバイダーが2018年までにほぼ対処した従来のドメインフロンティング技術を進化させたものです。
ドメインフロンティングがTLS SNIフィールドと暗号化されたHTTP Hostヘッダーの間のギャップを悪用するのに対し、Underminrは異なるアプローチを取ります。信頼されたドメインに対して解決されたIPアドレスへの接続を強制しつつ、別の悪意あるドメインのSNIとHTTP Hostヘッダーを提示することで、同一の共有CDNエッジIPに共同ホストされているドメインを悪用します。
CDNはリクエストを悪意のあるテナントにルーティングする一方、エンドポイントのDNSログには許可されたドメインの照会のみが記録されるため、防御側にとって重大な盲点が生じるとDavid Redekop氏は述べています。
ADAMnetworksの推計によると、約8,800万のドメインがこの脆弱性に潜在的にさらされており、米国、英国、カナダのインターネットインフラが最も大きな影響を受けています。
この欠陥はソフトウェアのバグではなくアーキテクチャ上の問題であるため、CVEは割り当てられておらず、パッチ適用だけでは解決できません。
根本原因は、CDNが共有エッジIPを通じて数千のテナントのトラフィックを多重化する際に、SNIやHostヘッダーの値を元のIPパスを提供したドメインに紐付けていないことにあります。
ADAMnetworksが文書化した4つの攻撃モードは、それぞれ異なる層のネットワーク防御を無効化するよう設計されています。
この技術はMITRE ATT&CK T1572およびT1133と合致しており、Flax Typhoon、GALLIUM、ToddyCat、MirrorFaceなど中国系APTグループが採用した戦術とも一致しています。これらのグループはCDNインフラを介したステルスなC2トンネリングにSoftEtherVPNを使用してきました。
UnderminrはClickFix型のソーシャルエンジニアリング攻撃の促進要因としても浮上しており、この攻撃では被害者がECH対応ドメインを使用して秘密チャネルを確立するスクリプトを実行するよう誘導されます。
「UnderminrがAI生成マルウェアのパラメトリック情報となった暁には、攻撃チェーンの一部として保護DNSを回避する必要があるすべての攻撃に組み込まれることが予想されます」とADAMnetworksのCEOであるDavid Redekop氏は警告しています。
標準的なPDNS制御だけではUnderminrを無効化することはできず、防御側はセキュリティスタックに追加の可視性を重ねる必要があります。
最も重要なステップは、DNS解決の回答と実際の接続タプルの相関付けです。接続先IP、SNI、HTTP Hostヘッダーをほぼリアルタイムで相互参照し、Underminrの悪用を示す不一致を検出しなければなりません。
また、防御側はHTTPS/SVCB DNSの回答からECHを除去して内部SNI暗号化によるネットワーク検査の盲点化を防ぐとともに、ECHキーが指定のDNSパス以外から取得された場合はcloudflare-ech.comなどの既知のECH SNIドメインをブロックする必要があります。
ADAMnetworksは公開ドメイン照会ツール「underminr.ai」を立ち上げました。このツールはGreen(脆弱性なし)、Yellow(脆弱性あり、未悪用)、Red(脆弱性あり、既知の悪用リストに掲載)のステータスを返し、資格のあるネットワーク防御担当者向けにキュレーションされた脅威インテリジェンスフィードも提供しています。
翻訳元: https://cyberpress.org/leverage-shared-cdn-edge-ips/
