约 8800 万个域名受Underminr 漏洞影响

威胁分子正利用共享内容分发网络（CDN）的漏洞，隐匿指向恶意域名的网络连接。
该漏洞命名为 Underminr，是域名前置攻击的衍生变种。域名前置如今已基本被防护手段遏制：攻击者以往会在 HTTPS 请求的 SNI 与 TLS 证书校验字段中填入合法可信域名，却在 TLS 加密隧道内的 HTTP 主机头中写入真正的恶意目标域名。由于 CDN 依据主机头转发请求，流量最终会抵达隐藏的恶意地址，而对外流量只会显示为访问高信誉的前置域名。
和传统域名前置不同，Underminr 会让请求的 SNI、HTTP 主机头保持为同一个域名，但强制将流量转发至同一 CDN 边缘节点内其他租户的 IP 地址。
网络安全厂商 ADAMnetworks 称，即便主流托管服务商已部署域名前置防护措施，该地址不匹配问题仍被攻击者恶意利用。这种攻击方式会造成假象：连接看似指向可信域名，实际却连通了可被用于不法活动的其他域名。
仿冒绕过能力
攻击者可借助 Underminr 隐藏与命令控制（C&C）服务器、VPN 及代理服务的连接，以此绕过网络出口管控策略。
ADAMnetworks 解释：“当 DNS 解析结果、边缘节点 IP、SNI、主机头与 CDN 租户路由之间无法相互校验关联时，就会形成检测漏洞。终端设备发起的是被允许的 DNS 请求，实际连接却指向了另一个托管域名。”
该攻击主要通过 TCP 443 端口发起，请求中的 SNI 字段会展示正常的 TLS 主机名，以此复用合法 CDN 基础设施发起恶意域名连接。
Underminr 包含四种攻击策略，可绕过防护型 DNS（PDNS）的查询监控与过滤机制。在实战中，攻击者可借助恶意程序、Shell 脚本发起攻击，该技术还被应用于 ClickFix 攻击场景。
目前全球约8800 万个域名受此漏洞影响，美国、英国、加拿大的网络基础设施受冲击最为严重。随着攻击者越来越多地利用 AI 技术，此类攻击频次预计将大幅增长。
ADAMnetworks 首席执行官戴维・雷德科普表示：“一旦 Underminr 被整合进 AI 生成恶意软件的参数体系，未来绝大多数需要绕过防护型 DNS 的攻击链路中，都能见到这项技术的身影。”
核心要点精简
技术定位：域名前置攻击的新型变种，针对共享 CDN 边缘节点实现绕过，现有域名前置防护对其无效。
攻击原理
传统域名前置：SNI / 证书域名 ≠ HTTP Host 域名
Underminr：SNI、Host 域名完全一致，但流量被导向同一边缘节点内其他租户 IP
攻击用途：隐藏 C&C 通信、代理 / VPN 流量，绕过 DNS 过滤、企业网络安全策略，还可配合 ClickFix 攻击使用。
风险规模：全球约 8800 万个域名受波及，北美、英国受影响最重。
发展趋势：易被 AI 恶意软件规模化运用，后续相关攻击或将大量爆发。