CVE-2025-40778 e CVE-2025-40780: Vulnerabilità di Avvelenamento della Cache in BIND 9

Analisi

CVE-2025-40778 e CVE-2025-40780 sono vulnerabilità di avvelenamento della cache ad alta gravità in BIND 9, il server DNS più utilizzato al mondo da ISP, imprese e reti governative. Il 22 ottobre 2025, ISC ha divulgato tre falle in BIND 9 sfruttabili da remoto: CVE-2025-40778, CVE-2025-40780 (entrambi CVSS 8.6) e CVE-2025-8677 (CVSS 7.5), tutte accessibili sulla rete senza autenticazione. CVE-2025-40778 deriva da una gestione troppo permissiva dei record di risorse non richiesti, consentendo ai resolver ricorsivi di memorizzare dati che violano le regole di bailiwick e abilitare avvelenamenti della cache che reindirizzano gli utenti a infrastrutture controllate dagli attaccanti. CVE-2025-40780 indebolisce la randomizzazione della porta sorgente e dell’ID di query, facilitando agli attaccanti la previsione dei valori e la “vittoria” di risposte falsificate in transito. CVE-2025-8677 completa questi problemi abusando dei record DNSKEY malformati per spingere l’uso della CPU al 100%, creando condizioni di DoS che amplificano le campagne di avvelenamento della cache.

Indagine

L’indagine su CVE-2025-40778, CVE-2025-40780 e CVE-2025-8677 dovrebbe iniziare con un inventario completo della vostra infrastruttura DNS. Identificate ogni resolver ricorsivo BIND 9, inclusi quelli interni, di laboratorio e “dimenticati”, e mappate ciascun server alla sua esatta versione di BIND e ruolo (ricorsivo, autoritativo, forwarder, validante). Secondo ISC, le deployment interessate dovrebbero aggiornarsi a 9.18.41, 9.20.15, o 9.21.14 (o Preview 9.18.41-S1 / 9.20.15-S1). Per CVE-2025-40778, cercate segnali di avvelenamento della cache: record memorizzati per nomi mai richiesti, record aggiuntivi inaspettati, o improvvisi cambiamenti di IP per domini di alto valore senza aggiornamenti DNS pianificati. Per CVE-2025-40780, cercate abusi di entropia: esplosioni di risposte falsificate o ripetute da IP non attendibili, alti volumi di query simili, e avvisi TLS lato client o del browser. Poiché CVE-2025-8677 può attivare DoS, monitorate per fallimenti SERVFAIL/timeouts ripetuti, strane zone DNSSEC e picchi di CPU o latenza collegati a query specifiche.

Mitigazione

Per CVE-2025-40778, CVE-2025-40780 e CVE-2025-8677, ISC elenca nessun workaround — l’aggiornamento di BIND 9 è la principale difesa. I resolver ricorsivi dovrebbero essere aggiornati a 9.18.41, 9.20.15, o 9.21.14, o a BUILD di anteprima 9.18.41-S1 / 9.20.15-S1, verificando che i pacchetti delle distribuzioni corrispondano alle linee guida ISC. Allo stesso tempo, rafforzare la configurazione del resolver limitando la ricorsione ai client fidati e alle reti interne, evitando resolver aperti su internet, e imponendo controlli stretti di bailiwick con accettazione minima di record aggiuntivi. Abilitare la validazione DNSSEC sui resolver ricorsivi, monitorare i tassi di fallimento per segni di manomissione, e aggiungere controlli a livello di rete per filtrare e limitare la velocità del traffico DNS sospetto o dell’attività di resolver illegittimo. Infine, migliorare il monitoraggio con avvisi su improvvisi cambi di IP per domini critici, picchi di SERVFAIL/timeouts, query ripetute, o anomalie nella gestione del DNSKEY che potrebbero indicare lo sfruttamento di CVE-2025-8677.

Risposta

Se sospettate che la vostra infrastruttura DNS sia stata bersagliata o compromessa, possibilmente tramite CVE-2025-40778, CVE-2025-40780 o CVE-2025-8677, iniziate stabilizzando e proteggendo i servizi DNS. Quando possibile, attuate il failover ai resolver secondari patchati e limitate l’accesso esterno a quelli vulnerabili mentre li mantenete raggiungibili internamente per un’analisi. Svuotate le cache dei resolver per rimuovere le voci avvelenate e verificate i record per le zone interne di alto valore con fonti autoritative prima di riutilizzarli. Validate l’integrità DNS controllando le risoluzioni IP e lo stato DNSSEC per i domini critici (IdP, email, VPN, portali amministrativi, pagamenti) contro registrars e log delle modifiche. Conservate i log di BIND, i log di sistema e le catture di pacchetti per una revisione forense, cercando prove di reindirizzamento a siti phishing, portali SSO falsi, o server di posta illegittimi. Dopo la patch, ridistribuite con configurazioni indurite, rilevamenti SIEM aggiornati e informate i vostri team sui rischi di avvelenamento della cache DNS e sulle nuove salvaguardie.