CVE-2025-40778 und CVE-2025-40780: Cache Poisoning-Schwachstellen in BIND 9

Analyse

CVE-2025-40778 und CVE-2025-40780 sind schwerwiegende Cache-Poisoning-Schwachstellen in BIND 9, dem weltweit am häufigsten eingesetzten DNS-Server, der von ISPs, Unternehmen und Regierungsnetzwerken genutzt wird. Am 22. Oktober 2025 veröffentlichte ISC drei aus der Ferne ausnutzbare BIND 9-Schwachstellen: CVE-2025-40778, CVE-2025-40780 (beide CVSS 8.6) und CVE-2025-8677 (CVSS 7.5), die alle ohne Authentifizierung über das Netzwerk erreichbar sind. CVE-2025-40778 entsteht durch eine zu großzügige Behandlung von unerwünschten Ressourceneinträgen, wodurch rekursive Resolver Daten cachen können, die die Bailiwick-Regeln verletzen, und so Cache-Poisoning ermöglichen, das Benutzer zu von Angreifern kontrollierter Infrastruktur umleitet. CVE-2025-40780 schwächt die Zufallsverteilung von Quellports und Abfrage-IDs, wodurch es Angreifern einfacher gemacht wird, Werte vorherzusagen und Spoofing-Antworten auf dem Transportweg zu „gewinnen“. CVE-2025-8677 ergänzt diese Probleme, indem es verdorbene DNSKEY-Datensätze missbraucht, um die CPU-Auslastung auf 100 % zu treiben und DoS-Bedingungen zu schaffen, die Cache-Poisoning-Kampagnen verstärken.

Untersuchung

Die Untersuchung von CVE-2025-40778, CVE-2025-40780 und CVE-2025-8677 sollte mit einer vollständigen Inventarisierung Ihrer DNS-Infrastruktur beginnen. Identifizieren Sie jeden BIND 9-Resolver, einschließlich interner, Labor- und „vergessener“ Instanzen, und ordnen Sie jeden Server seiner genauen BIND-Version und Rolle zu (rekursiv, autoritativ, Forwarder, validierend). Laut ISC sollten betroffene Implementierungen auf 9.18.41, 9.20.15 oder 9.21.14 (oder Preview 9.18.41-S1 / 9.20.15-S1) aktualisiert werden. Suchen Sie für CVE-2025-40778 nach Anzeichen von Cache-Poisoning: gepufferte Einträge für nie abgefragte Namen, unerwartete zusätzliche Einträge oder plötzliche IP-Änderungen für wichtige Domains ohne geplante DNS-Updates. Suchen Sie für CVE-2025-40780 nach Missbrauch von Entropie: Ausbrüche von gefälschten oder wiederholten Antworten von unzuverlässigen IPs, hohe Mengen ähnlicher Anfragen und clientseitige TLS- oder Browserwarnungen. Da CVE-2025-8677 DoS auslösen kann, überwachen Sie auf wiederholte SERVFAIL/Timeouts, seltsame DNSSEC-Zonen und CPU- oder Latenzspitzen, die mit bestimmten Anfragen verbunden sind.

Minderung

Für CVE-2025-40778, CVE-2025-40780 und CVE-2025-8677 nennt ISC keine Umgehungslösungen — das Patchen von BIND 9 ist der primäre Schutz. Rekursive Resolver sollten auf 9.18.41, 9.20.15 oder 9.21.14 oder auf Preview-Versionen 9.18.41-S1 / 9.20.15-S1 aktualisiert werden, wobei überprüft wird, dass die Distro-Pakete den ISC-Richtlinien entsprechen. Gleichzeitig sollte die Konfiguration des Resolvers gehärtet werden, indem die Rekursion auf vertrauenswürdige Clients und interne Netzwerke beschränkt wird, offene Resolver im Internet vermieden und strenge Bailiwick-Prüfungen mit minimaler Akzeptanz zusätzlicher Einträge durchgesetzt werden. Aktivieren Sie die DNSSEC-Validierung auf rekursiven Resolvern, überwachen Sie die Fehlerquoten auf Anzeichen von Manipulationen und fügen Sie netzwerkbezogene Kontrollmechanismen hinzu, um verdächtigen DNS-Verkehr oder bösartige Resolver-Aktivitäten zu filtern und zu begrenzen. Schließlich verbessern Sie die Überwachung mit Alarmen bei plötzlichen IP-Änderungen für kritische Domains, Spitzen bei SERVFAIL/Timeouts, wiederholten Anfragen oder Anomalien bei der DNSKEY-Verarbeitung, die auf eine Ausnutzung von CVE-2025-8677 hindeuten könnten.

Reaktion

Wenn Sie vermuten, dass Ihre DNS-Infrastruktur möglicherweise über CVE-2025-40778, CVE-2025-40780 oder CVE-2025-8677 angegriffen oder kompromittiert wurde, stabilisieren und schützen Sie zunächst die DNS-Dienste. Wo möglich, wechseln Sie zu gepatchten sekundären Resolvern und schränken Sie den externen Zugriff auf gefährdete ein, während Sie diese intern für Analysen erreichbar halten. Löschen Sie Resolver-Caches, um vergiftete Einträge zu entfernen, und verifizieren Sie Einträge für wichtige interne Zonen mit autoritativen Quellen, bevor Sie sie wieder verwenden. Überprüfen Sie die DNS-Integrität, indem Sie IP-Auflösungen und den DNSSEC-Status für kritische Domains (IdPs, E-Mail, VPN, Administrator-Portale, Zahlungsportale) gegenüber Registraren und Änderungsprotokollen überprüfen. Bewahren Sie BIND-Protokolle, Systemprotokolle und Paketaufzeichnungen für forensische Überprüfungen auf und suchen Sie nach Hinweisen auf Umleitungen zu Phishing-Seiten, gefälschten SSO-Portalen oder bösartigen Mailservern. Nach dem Patchen setzen Sie mit gehärteten Konfigurationen neu ein, aktualisieren Sie SIEM-Erkennungen und informieren Sie Ihre Teams über Risiken der DNS-Cache-Manipulation und neue Schutzmaßnahmen.