CVE-2025-40778 und CVE-2025-40780: Cache-Poisoning-Schwachstellen in BIND 9 setzen DNS-Server einem Angriffsrisiko aus

Nur wenige Tage nach der Veröffentlichung von CVE-2025-59230 und CVE-2025-24990 Zero-Day-Schwachstellen in Windows ist eine neue Reihe kritischer Mängel aufgetreten, die diesmal das Rückgrat des Domain Name Systems des Internets ins Visier nehmen. Das Internet Systems Consortium (ISC), die Betreuer von BIND 9, der weltweit am häufigsten verwendeten DNS-Software, hat drei hochriskante Schwachstellen aufgedeckt, die Benutzer und Organisationen gefährden könnten.
Zwei dieser Mängel, CVE-2025-40778 und CVE-2025-40780, ermöglichen es Angreifern, DNS-Caches zu vergiften, wodurch Benutzer möglicherweise auf bösartige Websites umgeleitet werden, die legitim erscheinen. Diese Probleme ergeben sich aus einem logischen Fehler und Schwächen bei der Pseudo-Zufallszahlengenerierung, die die Vertrauenswürdigkeit von DNS-Antworten untergraben.
Die dritte Schwachstelle, CVE-2025-8677, könnte ausgenutzt werden, um DoS-Zustände (Denial-of-Service) auf betroffenen DNS-Resolvern auszulösen und kritische Domain-Resolution-Dienste zu stören.
Mehr als 35.000 Schwachstellen wurden weltweit bislang im Jahr 2025 gemeldet, und die Gesamtzahl am Jahresende könnte 50.000 übersteigen. Alarmierend ist, dass mehr als ein Drittel dieser Schwachstellen als hochriskant oder kritisch eingestuft werden, was ein erhöhtes Ausbeutungsrisiko aufzeigt und den dringenden Bedarf an robusten Cybersicherheitsmaßnahmen unterstreicht.
Melden Sie sich bei der SOC Prime Platform an , um Zugriff auf den globalen Bedrohungsfeed in Echtzeit zu erhalten, der Informationen zu Cyberbedrohungen und kuratierte Erkennungsalgorithmen zur Bekämpfung neuer Bedrohungen bietet. Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Formaten kompatibel und auf das MITRE ATT&CK® Framework abgebildet. Darüber hinaus ist jede Regel mit CTI Links, Angriffsthemen, Audit-Konfigurationen, Triage-Empfehlungen und mehr relevantem Kontext angereichert. Drücken Sie die Erkennungen erkunden -Schaltfläche, um den gesamten Erkennungsstapel für proaktive Verteidigung gegen kritische Schwachstellen anzuzeigen, gefiltert nach dem „CVE“-Tag.
Sicherheitsingenieure können auch Uncoder AInutzen, eine IDE und Co-Pilot für die Erkennungstechnik. Mit Uncoder können Verteidiger sofort IOCs in benutzerdefinierte Jagdabfragen umwandeln, Erkennungscode aus Rohbedrohungsberichten erstellen, Angriffsflussdiagramme generieren, ATT&CK-Tag-Vorhersagen aktivieren, AI-gesteuerte Abfragoptimierungen nutzen und Erkennungsinhalte über mehrere Plattformen hinweg übersetzen.
CVE-2025-40778 und CVE-2025-40780 Analyse
BIND (Berkeley Internet Name Domain), verwaltet vom gemeinnützigen Internet Systems Consortium (ISC), ist die weltweit am häufigsten verwendete DNS-Server-Software und treibt kritische Infrastrukturen für ISPs, Unternehmen und Regierungen an. Aufgrund seiner umfangreichen Verbreitung können Schwachstellen in BIND weitreichende Auswirkungen auf das globale Internet haben.
Am 22. Oktober 2025 wurden drei kritische Schwachstellen öffentlich vom ISC bekannt gegeben, die potenziell Millionen von Benutzern weltweit beeinträchtigen könnten. Die Mängel setzen die DNS-Infrastruktur mehreren Angriffsvektoren aus, die die Integrität und Verfügbarkeit der Auflösung gefährden könnten. Zwei der Schwachstellen, CVE-2025-40778 und CVE-2025-40780, tragen einen CVSS-Score von 8,6, während CVE-2025-8677 einen Score von 7,5 hat, der immer noch als hohes Risiko eingestuft wird. Alle drei können aus der Ferne über das Netzwerk ohne Authentifizierung ausgenutzt werden und ermöglichen es Angreifern, DNS-Caches zu vergiften, Benutzer auf bösartige Websites umzuleiten, Kommunikation abzufangen oder Denial-of-Service-Angriffe zu starten.
CVE-2025-40778 ergibt sich aus der allzu freizügigen Handhabung von nicht angeforderten Ressourceneinträgen in DNS-Antworten durch BIND 9. Rekursive Resolver können Einträge cachen, die nicht ausdrücklich angefordert wurden, was gegen Bailiwick-Prinzipien verstößt. Ein Angreifer, der in der Lage ist, Antworten zu beeinflussen oder Datenverkehr abzufangen, kann gefälschte Einträge in den Cache einspeisen. Sind die Einträge einmal vergiftet, liefert der Resolver bei nachfolgenden Abfragen angreifergesteuerte Daten, was zu einer potenziellen Umleitung von Benutzern auf bösartige Websites, Abfangen sensibler Informationen oder Störung von Diensten führen kann.
CVE-2025-40780 nutzt eine Schwäche im Pseudozufallszahlengenerator (PRNG) von BIND aus, die es Angreifern ermöglicht, Quellports und Abfrage-IDs vorherzusagen. Indem sie diese Werte vorhersagen, können Angreifer leichter bösartige Antworten in Resolver-Caches einspeisen, was die Cache-Vergiftung erleichtert und die Umleitung des Benutzerverkehrs zu angreifergesteuerten Infrastrukturen ermöglicht.
Die oben beschriebenen Sicherheitslücken erinnern an ein historisches Ereignis im Jahr 2008, als der Forscher Dan Kaminsky eine schwere DNS-Cache-Vergiftungsschwäche aufdeckte, die es Angreifern ermöglichte, Resolver mit gefälschten Antworten zu fluten und Benutzer in großer Zahl zu bösartigen Websites umzuleiten. Die ursprüngliche Schwachstelle nutzte die begrenzten 16-Bit-Transaktions-IDs von DNS und das vorhersehbare UDP-Verhalten aus, das später durch eine drastische Erhöhung der Entropie durch zufällige Ports und Transaktionsnummern behoben wurde. Wie Kaminskys Entdeckung unterstreichen die BIND-Schwachstellen 2025 das anhaltende Risiko von Cache-Vergiftungen und unterstreichen die Notwendigkeit, die DNS-Infrastruktur gegen ähnliche Angriffe zu sichern.
CVE-2025-8677 bezieht sich auf fehlerhafte DNSKEY-Datensätze in speziell gestalteten Zonen, die die CPU-Ressourcen des Resolvers überlasten können. Eine Ausnutzung kann die Leistung erheblich beeinträchtigen oder zu Denial-of-Service-Bedingungen für legitime Benutzer führen. Während autoritative Server weitgehend unbeeinflusst bleiben, sind rekursive Resolver weiterhin gefährdet.
Um alle drei Schwachstellen vollständig zu entschärfen, sollten Organisationen auf die gepatchten BIND 9-Versionen: 9.18.41, 9.20.15 oder 9.21.14 aktualisieren, während Benutzer der Preview Edition 9.18.41-S1 oder 9.20.15-S1 verwenden sollten. Derzeit sind keine aktiven Exploits bekannt, und es gibt keine Umgehungslösungen, was eine zeitnahe Aktualisierung zur einzig wirksamen Verteidigung macht.
Angesichts der zunehmenden Bedrohung durch das Ausnutzen von Schwachstellen in weit verbreiteter Software suchen Organisationen nach effektiven Methoden, um ihre proaktive Sicherheitsposition zu stärken und den Gegnern einen Schritt voraus zu bleiben. SOC Prime bietet ein vollständiges Produktsortiment für unternehmensbereite Sicherheit, unterstützt durch KI, Automatisierung und Echtzeit-Bedrohungsinformationen, um globale Organisationen dabei zu unterstützen, die Cyberbedrohungen zu übertreffen, die sie am meisten erwarten.