CVE-2025-40778 et CVE-2025-40780 : Vulnérabilités de Poisoning du Cache dans BIND 9

Analyse

CVE-2025-40778 et CVE-2025-40780 sont des vulnérabilités de corruption de cache de haute gravité dans BIND 9, le serveur DNS le plus largement déployé dans le monde, utilisé par les FAI, les entreprises et les réseaux gouvernementaux. Le 22 octobre 2025, ISC a divulgué trois failles exploitables à distance dans BIND 9 : CVE-2025-40778, CVE-2025-40780 (tous deux CVSS 8.6) et CVE-2025-8677 (CVSS 7.5), tous accessibles sur le réseau sans authentification. CVE-2025-40778 découle d’une gestion trop permissive des enregistrements de ressources non sollicités, permettant aux résolveurs récursifs de mettre en cache des données qui violent les règles du bailiwick et permettant une corruption de cache qui redirige les utilisateurs vers des infrastructures contrôlées par des attaquants. CVE-2025-40780 affaiblit la randomisation des ports sources et des ID de requête, facilitant la prédiction des valeurs par les attaquants et les réponses falsifiées « gagnantes » en transit. CVE-2025-8677 complète ces problèmes en abusant de certains enregistrements DNSKEY malformés pour pousser l’utilisation du CPU à 100 %, créant des conditions de DoS qui amplifient les campagnes de corruption de cache.

Enquête

L’enquête sur CVE-2025-40778, CVE-2025-40780 et CVE-2025-8677 devrait commencer par un inventaire complet de votre infrastructure DNS. Identifiez chaque résolveur récursif BIND 9, y compris les instances internes, de laboratoire et « oubliées », et cartographiez chaque serveur selon sa version exacte de BIND et son rôle (récursif, autoritaire, relayeur, validant). Selon l’ISC, les déploiements affectés devraient être mis à niveau vers 9.18.41, 9.20.15, ou 9.21.14 (ou Preview 9.18.41-S1 / 9.20.15-S1). Pour CVE-2025-40778, recherchez des signaux de corruption de cache : enregistrements mis en cache pour des noms jamais demandés, enregistrements supplémentaires inattendus, ou changements soudains d’IP pour des domaines de haute valeur sans mises à jour DNS planifiées. Pour CVE-2025-40780, cherchez un abus d’entropie : rafales de réponses falsifiées ou répétées provenant d’IPs non fiables, volumes élevés de requêtes similaires, et avertissements TLS côté client ou dans les navigateurs. Puisque CVE-2025-8677 peut déclencher un DoS, surveillez les SERVFAIL/timeouts répétés, les zones DNSSEC étranges, et les pics de CPU ou de latence liés à des requêtes spécifiques.

Atténuation

Pour CVE-2025-40778, CVE-2025-40780, et CVE-2025-8677, l’ISC répertorie aucune solution de contournement — corriger BIND 9 est la principale défense. Les résolveurs récursifs devraient être mis à niveau vers 9.18.41, 9.20.15, ou 9.21.14, ou vers les versions Preview 9.18.41-S1 / 9.20.15-S1, en vérifiant que les paquets de distribution correspondent aux directives de l’ISC. En même temps, renforcez la configuration des résolveurs en limitant la récursion aux clients et réseaux internes de confiance, en évitant les résolveurs ouverts sur Internet, et en appliquant une vérification stricte des bailiwicks avec une acceptation minimale des enregistrements supplémentaires. Activez la validation DNSSEC sur les résolveurs récursifs, surveillez les taux d’échec pour détecter des signes de falsification, et ajoutez des contrôles au niveau réseau pour filtrer et limiter le trafic DNS suspect ou l’activité de résolveurs malveillants. Enfin, améliorez la surveillance avec des alertes sur les changements soudains d’IP pour les domaines critiques, les pics de SERVFAIL/timeouts, les requêtes répétées, ou les anomalies dans la gestion des DNSKEY qui pourraient indiquer une exploitation de CVE-2025-8677.

Réponse

Si vous soupçonnez que votre infrastructure DNS a été ciblée ou compromise, éventuellement via CVE-2025-40778, CVE-2025-40780, ou CVE-2025-8677, commencez par stabiliser et protéger les services DNS. Lorsque cela est possible, basculez vers des résolveurs secondaires corrigés et restreignez l’accès externe aux résolveurs vulnérables tout en les maintenant accessibles en interne pour analyse. Videz les caches des résolveurs pour supprimer les entrées corrompues et vérifiez les enregistrements pour les zones internes de haute valeur avec des sources autoritaires avant de les réutiliser. Validez l’intégrité DNS en vérifiant les résolutions IP et le statut DNSSEC pour les domaines critiques (IdP, e-mail, VPN, portails d’administration, paiements) contre les registrars et les journaux de modification. Conservez les journaux BIND, les journaux systèmes et les captures de paquets pour un examen judiciaire, à la recherche de preuves de redirection vers des sites de phishing, des portails SSO factices, ou des serveurs de courrier malveillants. Après la correction, redéployez avec des configurations renforcées, des détections SIEM mises à jour, et informez vos équipes sur les risques de corruption de cache DNS et les nouvelles mesures de protection.