Underminr濫用共享CDN架構，讓惡意連線偽裝成可信網域流量

在Underminr漏洞中，惡意程式可讓受害裝置先查詢一個被允許的可信網域A，取得它背後的CDN邊緣IP；但真正連到該IP時，卻在TLS SNI（伺服器名稱指示）與HTTP Host中指定另一個同樣位於該CDN共享邊緣上的惡意網域B。

因此，DNS或被動DNS系統看到的是「裝置查詢了可信網域A」，安全系統可能因此放行；但實際連線內容卻可能由攻擊者控制的B回應。這使惡意程式可把C2通訊、資料外洩或代理流量偽裝成正常連線。

Underminr看起來跟Domain Fronting很像，但其實採用了不同的手法。早在2015年就被提出的Domain Fronting，是利用CDN邊緣IP在交握時僅檢查SNI，後續轉發流量時仰賴HTTP Host標頭的特性，讓攻擊者可在外層連線中偽裝成受信任網域，實際上卻把流量導向惡意網域；隨後Google、Amazon及微軟等CDN業者全面要求SNI與HTTP Host必須一致，成功阻擋了Domain Fronting。

簡單地說，Domain Fronting是SNI寫A，Host寫B，可透過禁止兩者不一致來攔截；而Underminr則是DNS查A，但連線的SNI與Host可都指向B，因而避開了針對Domain Fronting的防線。

ADAMnetworks測試全球前500萬個熱門網域，發現約有42%的受測網域可能受到Underminr影響；若將該比例外推至全球網域生態，估計約有8,800萬個網域曝露在相關風險中。

網站管理員可透過Underminr網站查詢自身網域是否可能遭濫用。ADAMnetworks也建議網域持有者啟用CDN租戶隔離機制，或將關鍵服務部署於專用IP及專用邊緣容量；企業IT管理員則應同時檢查DNS、SNI與HTTPS Host標頭，並在DNS與SNI層封鎖已知遭濫用網域。