CVE-2025-40778 e CVE-2025-40780: Vulnerabilidades de Envenenamento de Cache no BIND 9

Análise

CVE-2025-40778 e CVE-2025-40780 são vulnerabilidades de envenenamento de cache de alta severidade no BIND 9, o servidor DNS mais amplamente implantado no mundo, usado por ISPs, empresas e redes governamentais. Em 22 de outubro de 2025, a ISC divulgou três falhas exploráveis remotamente no BIND 9: CVE-2025-40778, CVE-2025-40780 (ambos CVSS 8.6) e CVE-2025-8677 (CVSS 7.5), todas acessíveis através da rede sem autenticação. CVE-2025-40778 surge de um manuseio excessivamente permissivo de registros de recursos não solicitados, permitindo que resolvedores recursivos armazenem em cache dados que violam as regras de bailiwick e habilitando envenenamento de cache que redireciona usuários para infraestrutura controlada por atacantes. CVE-2025-40780 enfraquece a randomização de portas de origem e IDs de consulta, tornando mais fácil para atacantes prever valores e “vencer” respostas falsificadas em trânsito. CVE-2025-8677 complementa esses problemas abusando de registros DNSKEY malformados para empurrar o uso da CPU para 100%, criando condições de DoS que amplificam campanhas de envenenamento de cache.

Investigação

A investigação do CVE-2025-40778, CVE-2025-40780, e CVE-2025-8677 deve começar com um inventário completo de sua infraestrutura DNS. Identifique cada resolvedor recursivo BIND 9, incluindo instâncias internas, de laboratório e “esquecidas”, e mapeie cada servidor para sua exata versão BIND e função (recursivo, autorizado, forwarder, validando). De acordo com a ISC, implantações afetadas devem ser atualizadas para 9.18.41, 9.20.15 ou 9.21.14 (ou Preview 9.18.41-S1 / 9.20.15-S1). Para CVE-2025-40778, procure sinais de envenenamento de cache: registros em cache para nomes nunca consultados, registros adicionais inesperados, ou mudanças súbitas de IP para domínios de alto valor sem atualizações de DNS planejadas. Para CVE-2025-40780, busque abuso de entropia: rajadas de respostas falsificadas ou repetidas de IPs não confiáveis, altos volumes de consultas semelhantes e avisos de TLS ou navegador no lado do cliente. Como CVE-2025-8677 pode desencadear DoS, monitore por SERVFAIL/timeouts repetidos, zonas DNSSEC estranhas, e picos de CPU ou latência ligados a consultas específicas.

Mitigação

Para CVE-2025-40778, CVE-2025-40780 e CVE-2025-8677, a ISC lista nenhuma solução alternativa — aplicar patches no BIND 9 é a principal defesa. Resolvedores recursivos devem ser atualizados para 9.18.41, 9.20.15 ou 9.21.14, ou para versões Preview 9.18.41-S1 / 9.20.15-S1, verificando que os pacotes da distribuição correspondam às orientações da ISC. Ao mesmo tempo, endureça a configuração do resolvedor restringindo a recursão a clientes e redes internas confiáveis, evitando resolvedores abertos na internet e aplicando verificações de bailiwick rigorosas com aceitação mínima de registros adicionais. Ative a validação DNSSEC em resolvedores recursivos, monitore taxas de falha para sinais de manipulação e adicione controles de nível de rede para filtrar e limitar as taxas de tráfego DNS suspeito ou atividade de resolvedor não autorizado. Finalmente, melhore o monitoramento com alertas sobre mudanças súbitas de IP para domínios críticos, picos em SERVFAIL/timeouts, consultas repetidas, ou anomalias no manuseio de DNSKEY que possam indicar exploração do CVE-2025-8677.

Resposta

Se você suspeita que sua infraestrutura DNS foi alvo ou comprometida, possivelmente via CVE-2025-40778, CVE-2025-40780 ou CVE-2025-8677, comece estabilizando e protegendo os serviços DNS. Onde possível, faça failover para resolvedores secundários com patches e restrinja acesso externo a aqueles vulneráveis enquanto os mantém acessíveis internamente para análise. Limpe os caches dos resolvedores para remover entradas envenenadas e verifique registros para zonas internas de alto valor com fontes autorizadas antes de reutilizá-los. Valide a integridade do DNS verificando resoluções de IP e status DNSSEC para domínios críticos (IdPs, e-mail, VPN, portais de admin., pagamentos) contra registradores e logs de mudanças. Preserve logs BIND, logs do sistema e capturas de pacotes para revisão forense, procurando evidências de redirecionamento para sites de phishing, portais SSO falsos ou servidores de e-mail não autorizados. Após aplicar patches, redistribua com configs endurecidas, detecções atualizadas em SIEM e informe suas equipes sobre os riscos de envenenamento de cache DNS e novas salvaguardas.