CVE-2025-40778およびCVE-2025-40780：BIND 9におけるキャッシュ毒化の脆弱性

分析

CVE-2025-40778 と CVE-2025-40780 は、ISP、企業、政府ネットワークで広く使用されている世界で最も広く展開されているDNSサーバーであるBIND 9の高深刻度のキャッシュ中毒の脆弱性です。2025年10月22日、ISCは3つのリモートで悪用可能なBIND 9の欠陥（CVE-2025-40778、CVE-2025-40780（いずれもCVSS 8.6）、CVE-2025-8677（CVSS 7.5））を開示しました。これらはすべて、認証なしでネットワーク経由でアクセス可能です。CVE-2025-40778は、要求されていないリソースレコードを過度に許容する処理から生じ、再帰的リゾルバがbailiwick規則に違反するデータをキャッシュすることを許可し、攻撃者が制御するインフラストラクチャにユーザーをリダイレクトするキャッシュの中毒を可能にします。CVE-2025-40780はソースポートとクエリIDのランダム化を弱め、攻撃者が値を予測し、トランジット中の偽の応答を「勝ち取る」ことを容易にします。CVE-2025-8677はこれらの問題を補完し、誤形成されたDNSKEYレコードを悪用してCPU使用率を100％に押し上げ、DoS状態を作成し、キャッシュ中毒キャンペーンを増幅します。

調査

CVE-2025-40778、CVE-2025-40780、およびCVE-2025-8677の調査は、DNSインフラストラクチャの完全なインベントリから始めるべきです。内部、ラボ、および「忘れられた」インスタンスを含むすべてのBIND 9再帰的リゾルバを特定し、各サーバーをその正確なBINDバージョンと役割（再帰的、権威的、フォワーダー、検証）にマッピングします。ISCによれば、影響を受けたデプロイメントは9.18.41、9.20.15、または9.21.14（またはプレビュー9.18.41-S1 / 9.20.15-S1）にアップグレードする必要があります。CVE-2025-40778の場合、キャッシュ中毒の兆候を探します：問い合わせられたことのない名前のキャッシュレコード、予期しない追加レコード、または計画されていないDNS更新のない高価値ドメインの突然のIP変更。CVE-2025-40780の場合、エントロピーの悪用を探します：信頼できないIPからの偽装や繰り返しの応答の急増、同様のクエリの高容量、およびクライアント側のTLSやブラウザの警告。CVE-2025-8677はDoSを引き起こす可能性があるため、繰り返しのSERVFAIL/タイムアウト、奇妙なDNSSECゾーン、特定のクエリに関連するCPUやレイテンシのスパイクを監視します。

緩和策

CVE-2025-40778、CVE-2025-40780、およびCVE-2025-8677に対して、ISCは 回避策がない とリストしています — BIND 9をパッチすることが主要な防御策です。再帰的リゾルバは9.18.41、9.20.15、または9.21.14、あるいはプレビュービルド9.18.41-S1 / 9.20.15-S1にアップグレードし、ディストリビューションパッケージがISCのガイダンスに一致することを確認します。同時に、信頼されたクライアントと内部ネットワークへの再帰を制限し、インターネット上のオープンリゾルバを避け、追加のレコードを最小限に受け入れて厳格なbailiwickチェックを実施することにより、リゾルバの設定を強化します。再帰的リゾルバでDNSSEC検証を有効にし、改ざんの兆候として障害率を監視し、疑わしいDNSトラフィックや不正なリゾルバ活動をフィルタリングし、レート制限するためのネットワークレベルのコントロールを追加します。最後に、重要なドメインのIP変更の急増、SERVFAIL/タイムアウトの急増、繰り返しのクエリ、またはCVE-2025-8677の悪用を示す可能性のあるDNSKEYの取り扱いの異常についてアラートを設定して、監視を強化します。

対応

DNSインフラがターゲットとなっているか、CVE-2025-40778、CVE-2025-40780、またはCVE-2025-8677を通じて侵害された可能性がある場合、DNSサービスを安定化し保護することから始めます。可能であれば、パッチされたセカンダリリゾルバにフェイルオーバーし、内部での分析を維持しつつ、脆弱なものへの外部アクセスを制限します。リゾルバのキャッシュをフラッシュして中毒されたエントリを削除し、再利用する前に権威あるソースで高価値の内部ゾーンのレコードを検証します。重要なドメイン（IdP、メール、VPN、管理ポータル、支払い用）のIP解決とDNSSECステータスをレジストラや変更ログと照らし合わせてDNSの完全性を検証します。BINDログ、システムログ、およびパケットキャプチャを保存して、フィッシングサイト、偽SSOポータル、または不正なメールサーバーへのリダイレクトの証拠を見つけるために鑑識レビューを行います。パッチ適用後、強化された設定で再展開し、SIEMの検出を更新し、DNSキャッシュ中毒のリスクと新しい安全策についてチームに説明します。