Thought Leadership
Die Schwachstelle Underminr in CDN-Infrastrukturen erlaubt es Angreifern, schadhaften Datenverkehr unbemerkt hinter vertrauenswürdigen Domänen zu verstecken.
Sicherheitsforscher haben eine neue Methode dokumentiert, mit der cyberkriminelle Akteure bösartige Netzwerkverbindungen hinter legitimen und vertrauenswürdigen Internetadressen verbergen können. Die Schwachstelle trägt den Namen Underminr und betrifft die Infrastruktur von Content Delivery Networks, allgemein als CDN bezeichnet. Die Entdeckung wurde im Mai 2026 von dem IT-Sicherheitsunternehmen ADAMnetworks veröffentlicht. Laut den vorliegenden Berichten stellt diese Methode eine neuartige Variante des historisch bekannten Domain Fronting dar.
Während das klassische Domain Fronting durch Anpassungen bei den großen CDN-Anbietern weitgehend eingedämmt werden konnte, hebelt Underminr diese Schutzmaßnahmen nun gezielt aus. Betroffen sind weltweit schätzungsweise 88 Millionen Domänen, die auf gemeinsam genutzten Server-Infrastrukturen betrieben werden. Angreifer nutzen die Schwachstelle, um herkömmliche DNS-Filtermechanismen zu umgehen und verdeckte Verbindungen zu ihren Kontrollservern aufzubauen.
Automatisierte Abwehrmanöver korrelieren nicht miteinander
Um die Funktionsweise von Underminr zu verstehen, ist ein Blick auf die Architektur moderner Inhaltsverteilungsnetzwerke erforderlich. Beim klassischen Domain Fronting platzierten Angreifer eine erlaubte, vertrauenswürdige Domäne in der Server Name Indication, kurz SNI, sowie in den Validierungsfeldern des TLS-Zertifikats einer HTTPS-Anfrage. Gleichzeitig betbetteten sie die eigentlich gewünschte, potenziell schadhafte Zieldomäne in den verschlüsselten HTTP-Host-Header innerhalb des gesicherten TLS-Tunnels. Da viele CDNs die Anfragen intern ausschließlich auf Basis dieses Host-Headers weiterleiteten, erreichte der Datenstrom das verborgene Ziel, während er für externe Überwachungswerkzeuge wie eine legitime Verbindung aussah.
Die Underminr-Methode modifiziert diesen Ansatz, um bestehende Blockaden zu umgehen. Anstatt eine fremde Vertrauensdomäne direkt als Fassade zu nutzen, präsentiert das Angreifer-Skript die SNI und den HTTP-Host einer bestimmten Domäne, erzwingt jedoch gleichzeitig die Weiterleitung der Anfrage an die IP-Adresse eines völlig anderen Mandanten auf derselben gemeinsam genutzten Edge-Infrastruktur des CDN-Anbieters. Es entsteht eine bewusste Diskrepanz zwischen der deklarierten Adresse und dem tatsächlichen Zielserver.
Die Erkennungslücke in der Netzwerksicherheit entsteht exakt dadurch, dass die automatisierten Abwehrmanöver der Unternehmen DNS-Entscheidungen, Edge-IP-Adressen, SNI-Einträge, Host-Header und das interne Routing der CDN-Mandanten nicht hinreichend miteinander korrelieren. Das betroffene Endgerät registriert eine vollständig legitime DNS-Abfrage, während die TCP-Verbindung über den Port 443 im Hintergrund erfolgreich gegen einen vollkommen anderen, hosted Namen abgeschlossen wird.
Umgehung von Protective DNS und operative Einsatzszenarien
Die Analysen von ADAMnetworks zeigen, dass die Underminr-Schwachstelle über vier unterschiedliche strategische Ansätze ausgenutzt werden kann, um hochentwickelte Überwachungsdienste auszuhebeln. Besonders betroffen ist der Sicherheitsdienst Protective DNS, oft als PDNS abgekürzt, welcher eigentlich dafür ausgelegt ist, schadhafte DNS-Anfragen in Unternehmensnetzwerken frühzeitig zu blockieren und zu filtern. Durch die gezielte Maskierung der Pakete versagen diese Schutzfilter, da der sichtbare Teil der Verbindung die Kriterien einer erlaubten Domäne erfüllt.
Die operativen Einsatzmöglichkeiten für Cyberkriminelle sind weitreichend. Die Methode wird primär dazu missbraucht, den Datenverkehr zu Command-and-Control-Servern zu verschleiern, über die infizierte Systeme in einem Firmennetzwerk gesteuert werden. Darüber hinaus lässt sich das Verfahren einsetzen, um unbefugte VPN-Verbindungen und Proxy-Tunnel aufzubauen. Unternehmen, die strenge Richtlinien für den ausgehenden Netzwerkverkehr implementiert haben, um den Abfluss von Daten zu verhindern, stehen vor dem Problem, dass diese Egress-Policies durch die getunnelten CDN-Anfragen wirkungslos werden. Da der Datenstrom scheinbar zu einem renommierten Cloud-Dienst oder Hosting-Anbieter fließt, schlagen die internen Alarmsysteme der IT-Abteilungen nicht an.
Underminr vermehrt bei ClickFix-Angriffen
In der Praxis beobachten Sicherheitsanalysten, dass Angreifer die Schwachstelle bereits im Rahmen realer Kampagnen einsetzen. Die Ausnutzung erfolgt meist über schadhafte Anwendungen oder manipulierte Shell-Skripte, die auf den Endgeräten der Opfer ausgeführt werden. Zudem wird Underminr vermehrt im Kontext von sogenannten ClickFix-Angriffen registriert. Bei diesen Social-Engineering-Kampagnen werden Nutzer durch gefälschte Fehlermeldungen im Webbrowser dazu verleitet, bösartige Code-Zeilen manuell in ihre Systemsteuerung zu kopieren, um vermeintliche Anzeigefehler zu beheben. Im Hintergrund initiiert der Code dann die verdeckte CDN-Verbindung.
Eine erhebliche Verschärfung der Bedrohungslage wird durch den zunehmenden Einsatz von künstlicher Intelligenz in der Malware-Entwicklung erwartet. David Redekop, der Geschäftsführer von ADAMnetworks, warnte in einer Stellungnahme vor den zukünftigen Risiken. Er erklärte, dass sobald Underminr zu einer parametrischen Information für KI-generierte Schadsoftware wird, damit zu rechnen ist, dass diese Methode in fast jeder Angriffskette auftaucht, die eine Umgehung von Protective DNS erfordert. Künstliche Intelligenz ist in der Lage, die für den Angriff notwendigen Kombinationen aus geteilten CDN-IPs und passenden Hostnamen in Echtzeit autonom zu ermitteln und in die Schadcodes einzubetten, was die Erkennung für klassische Sicherheitswerkzeuge massiv erschwert.
88 Millionen potenziell anfällige Domänen
Die globale Reichweite der Schwachstelle ist beträchtlich, da moderne Web-Architekturen extrem stark auf die Dienste großer, zentralisierter Cloud- und CDN-Anbieter angewiesen sind. Die Schätzung von rund 88 Millionen potenziell anfälligen Domänen verdeutlicht, wie tief die gemeinsame Nutzung von Edge-Servern in der heutigen Internet-Infrastruktur verankert ist. Geografische Analysen der betroffenen Netzwerke zeigen, dass die digitale Infrastruktur in den Vereinigten Staaten, im Vereinigten Königreich und in Kanada am stärksten von diesem Sicherheitsrisiko betroffen ist.
Dies liegt vor allem an der hohen Dichte von Großunternehmen und Hosting-Providern in diesen Regionen, die intensiv auf geteilte CDN-Mandanten setzen. Für IT-Sicherheitsverantwortliche in Unternehmen bedeutet die Entdeckung von Underminr, dass eine isolierte Überprüfung von DNS-Anfragen oder SNI-Daten nicht mehr ausreicht, um die Integrität des ausgehenden Datenverkehrs zu gewährleisten. Es bedarf stattdessen einer tiefgehenden Korrelation aller Verbindungsparameter auf Anwendungsebene.
