Tin bảo mật mới nhất cho thấy các đối tượng tấn công đang lợi dụng một kỹ thuật mới trên hạ tầng Content Delivery Network (CDN) dùng chung để che giấu lưu lượng độc hại phía sau các tên miền có độ tin cậy cao. Kỹ thuật này được theo dõi với tên Underminr và không phải là một lỗi phần mềm, mà là sự lạm dụng có chủ đích cách CDN được thiết kế để hoạt động.
Kỹ thuật Underminr trong tin tức bảo mật
Trong môi trường CDN hiện đại, nhiều khách hàng cùng chia sẻ hạ tầng và các edge node. Điều này tạo ra bề mặt tấn công khi một tên miền do kẻ tấn công đăng ký có thể cùng nằm trên mạng CDN với một tên miền hợp lệ, phổ biến và có uy tín cao.
Rescana cho biết họ đã phát hiện active exploitation của vấn đề này và công bố báo cáo chi tiết về phạm vi ảnh hưởng. Báo cáo gốc có thể tham khảo tại nguồn ngoài đáng tin cậy: Rescana – Active Exploitation Alert: Underminr.
Cách Underminr vượt qua kiểm tra danh tiếng miền
Điểm chính của kỹ thuật Underminr là lợi dụng cơ chế định tuyến dựa trên HTTP Host header và Server Name Indication (SNI) trong TLS handshake. Khi các tín hiệu này trông giống một đích đến đáng tin cậy, công cụ bảo mật ở perimeter có thể cho phép lưu lượng đi qua mà không cảnh báo.
Trong thực tế, một miền của kẻ tấn công và một miền hợp lệ có thể cùng dùng chung edge node của CDN. Khi đó, kẻ tấn công gửi request với SNI “mượn” từ miền tin cậy, trong khi phần backend xử lý kết nối lại do hạ tầng của họ kiểm soát.
Lỗ hổng CVE và bản chất kiến trúc
Đây là một lỗ hổng CVE theo nghĩa vận hành và kiến trúc, nhưng chưa có CVE được gán tính đến tháng 5/2026. Nguyên nhân là vấn đề bắt nguồn từ mô hình chia sẻ hạ tầng CDN, không phải từ một lỗi code có thể vá bằng một bản update thông thường.
Vì không phải lỗi phần mềm “patch-ready”, đây cũng không phải dạng zero-day vulnerability truyền thống. Tuy nhiên, mức độ khai thác thực tế cho thấy nó vẫn là một cảnh báo CVE quan trọng đối với đội ngũ vận hành, SOC và những đơn vị phụ thuộc vào kiểm tra danh tiếng miền.
Ảnh hưởng hệ thống
Theo nghiên cứu được trích dẫn trong báo cáo, hơn 88 triệu domain có thể ở trạng thái rủi ro, bao gồm các domain được phục vụ bởi những nhà cung cấp CDN lớn như Cloudflare, Akamai, AWS CloudFront và Fastly.
Ảnh hưởng chính không nằm ở việc phá vỡ CDN, mà ở khả năng:
- Ẩn lưu lượng độc hại sau miền có uy tín.
- Vượt qua kiểm tra reputational filtering.
- Thiết lập kênh command-and-control khó phát hiện.
- Triển khai phishing và phân phối malware qua hạ tầng tin cậy.
Cách thức hoạt động của cuộc tấn công mạng
Điểm khó phát hiện nhất của cuộc tấn công mạng này là việc kết hợp HTTP/2 multiplexing. Tính năng này cho phép nhiều luồng dữ liệu chạy trên cùng một kết nối, làm mờ ranh giới giữa lưu lượng hợp lệ và lưu lượng độc hại.
Kẻ tấn công có thể xen lẫn các request bất thường vào luồng truy cập bình thường. Công cụ ở lớp biên, nếu chỉ dựa vào hostname hoặc dấu hiệu TLS đơn lẻ, sẽ gặp khó khăn trong việc nhận diện hành vi bất thường.
Mẫu hành vi quan sát được
Các hành vi được ghi nhận trong threat intelligence gồm:
- Đăng ký domain thông qua nhà cung cấp CDN.
- Tạo request với SNI spoofed hướng tới các dịch vụ SaaS lớn.
- Định tuyến payload thực qua hạ tầng do kẻ tấn công kiểm soát.
- Xen kẽ lưu lượng độc hại với traffic hợp lệ để né phát hiện xâm nhập.
IOC liên quan đến Underminr
Do nội dung nguồn không cung cấp danh sách IOC dạng hash, IP hoặc domain cụ thể, phần IOC dưới đây chỉ trích xuất các chỉ dấu hành vi và hạ tầng được mô tả trực tiếp.
- Kỹ thuật: Underminr
- Hạ tầng liên quan: CDN dùng chung, edge node chia sẻ
- Cơ chế lạm dụng: HTTP Host header, SNI trong TLS handshake
- Kỹ thuật che giấu: HTTP/2 multiplexing
- Hành vi: SNI-spoofed requests, lưu lượng trộn lẫn với truy cập hợp lệ
Remote code execution, malware và rủi ro an toàn thông tin
Nội dung gốc không mô tả trực tiếp một remote code execution cụ thể trên hệ thống đích. Tuy nhiên, cuộc tấn công mạng này tạo điều kiện cho chuỗi tấn công tiếp theo, bao gồm phát tán malware, điều khiển từ xa và các chiến dịch lừa đảo.
Vì lưu lượng được che dưới danh nghĩa tên miền uy tín, các hệ thống IDS và kiểm tra biên có thể không kích hoạt ngưỡng cảnh báo thông thường. Điều này làm tăng rủi ro bảo mật đối với tổ chức đang dựa nhiều vào domain reputation.
Khả năng mở rộng của mối đe dọa mạng
Kỹ thuật này có tính mở rộng cao, khó chặn mà không ảnh hưởng đến traffic hợp lệ, và hiệu quả với nhiều quy mô tổ chức khác nhau. Trong bối cảnh đó, mối đe dọa mạng này được đánh giá sẽ tiếp tục bị lạm dụng khi nhận thức về phương thức tấn công lan rộng.
Đặc biệt, đây không phải kiểu tấn công phụ thuộc vào một sản phẩm đơn lẻ, nên chiến lược phòng thủ cần thay đổi từ kiểm tra đơn điểm sang kiểm tra hành vi và tương quan lưu lượng.
Biện pháp phòng vệ và cập nhật bản vá
Do không tồn tại bản vá bảo mật hay update vá lỗi trực tiếp cho vấn đề kiến trúc này, tổ chức cần triển khai các biện pháp kiểm soát ở nhiều lớp để tăng khả năng phát hiện tấn công.
Khuyến nghị chính là kiểm tra sâu hơn thay vì chỉ dựa vào reputation của domain. Việc đối chiếu giữa SNI và Host header, cùng với phân tích luồng traffic theo hành vi, là cần thiết để giảm nguy cơ bị qua mặt bởi lỗ hổng CVE-kiểu kiến trúc này.
Kiểm tra và giám sát lưu lượng
Đội ngũ bảo mật nên triển khai deep packet inspection để đối chiếu SNI và Host header với các endpoint CDN hợp lệ. Cần chú ý đến các dòng lưu lượng hướng tới domain có độ tin cậy cao nhưng không khớp hành vi kinh doanh bình thường.
# Ví dụ kiểm tra SNI và Host header ở lớp giám sát lưu lượng
# Pseudo-rule
if tls.sni != http.host then
flag_suspicious_connection()
end if
# Ví dụ CLI để quan sát handshake TLS
openssl s_client -connect example.com:443 -servername example.com
Rà soát cấu hình CDN
Cấu hình CDN cần được rà soát để đảm bảo mức độ cô lập giữa các tenant. Nếu hạ tầng chia sẻ cho phép định tuyến chéo theo cách khó kiểm soát, đó là điều kiện thuận lợi cho xâm nhập trái phép và che giấu lưu lượng.
Đồng thời, đội ngũ vận hành nên làm việc trực tiếp với nhà cung cấp CDN để nắm rõ các biện pháp giảm thiểu kiến trúc đang được triển khai.
Cập nhật threat intelligence và phân tích hành vi
Các feed threat intelligence nên được bổ sung bằng domain do đối tượng tấn công đăng ký, mẫu SNI bất thường và các chỉ dấu liên quan đến lưu lượng chia nhỏ qua HTTP/2. Phân tích hành vi sẽ hữu ích hơn so với chỉ dựa vào danh sách chặn tĩnh.
Trong bối cảnh tin bảo mật mới nhất liên quan đến CDN, việc kết hợp giám sát lưu lượng, kiểm tra entropy hành vi và tương quan log ở nhiều lớp sẽ giúp tăng khả năng phát hiện xâm nhập sớm hơn.
