Falha pode driblar filtros DNS e camuflar conexões de comando e controle em domínios confiáveis.
Underminr é uma falha ligada a infraestrutura compartilhada de CDN. Ela permite que conexões maliciosas pareçam associadas a domínios confiáveis. Segundo o relato citado pela SecurityWeek, o problema impacta cerca de 88 milhões de domínios e pode ser usado para contornar filtros DNS e ocultar tráfego de comando e controle.
Underminr é uma vulnerabilidade descrita como uma variação de uma técnica conhecida como domain fronting. Em termos simples, o ataque tenta fazer uma conexão perigosa parecer uma visita normal a um domínio confiável. Isso é especialmente relevante em ambientes que usam CDNs, redes que distribuem conteúdo de muitos clientes a partir de uma mesma infraestrutura compartilhada.
De acordo com as informações publicadas pela SecurityWeek, a falha pode afetar aproximadamente 88 milhões de domínios. O risco principal é a camuflagem: sistemas de bloqueio podem enxergar um destino permitido, enquanto a conexão real ajuda a esconder tráfego malicioso.
Em uma conexão HTTPS comum, diferentes partes da comunicação ajudam a indicar qual site está sendo acessado. No caso do Underminr, o invasor apresenta informações de um domínio aparentemente legítimo, mas força a requisição para o endereço IP de outro cliente na mesma estrutura compartilhada de CDN.
Na prática, é como mostrar na recepção o nome de uma empresa confiável, mas usar o mesmo prédio para chegar a outra sala. A SecurityWeek relata que essa diferença entre o domínio apresentado e o endereço realmente usado pode permitir que atacantes escondam conexões com domínios maliciosos, inclusive tráfego de comando e controle, usado para orientar sistemas comprometidos.
O desafio é que o tráfego pode parecer legítimo em uma análise superficial. Ainda assim, equipes de segurança devem observar inconsistências e padrões incomuns, como:
Como o problema envolve a forma como conexões podem ser mascaradas, a defesa não deve depender apenas de listas de domínios permitidos. A recomendação prática é combinar camadas de validação: DNS, registros de proxy, inspeção de conexões HTTPS quando aplicável, análise de destino por IP e revisão de padrões de tráfego.
Empresas também devem revisar exceções muito amplas em filtros DNS. Se uma regra permite grandes blocos de serviços compartilhados sem contexto, ela pode dificultar a identificação de abusos. Para ambientes críticos, vale priorizar monitoramento de saída, alertas para conexões incomuns e investigação de tráfego que tenta parecer confiável demais.
O relato destaca impacto em larga escala sobre domínios e infraestrutura compartilhada de CDN. O risco mais direto é para redes que dependem de filtros DNS e precisam identificar tráfego malicioso camuflado.
Não. Ele continua importante, mas não deve ser a única barreira. O caso mostra que é necessário combinar DNS com análise de IP, proxy, comportamento e registros de rede.
É a comunicação usada por atacantes para enviar instruções a sistemas comprometidos. Se esse tráfego fica escondido atrás de domínios confiáveis, a detecção se torna mais difícil.
A LC SEC ajuda sua equipe a revisar controles de DNS, investigar tráfego suspeito e validar se sua rede consegue detectar conexões maliciosas camufladas em serviços confiáveis.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io