CVE-2025-40778 et CVE-2025-40780 : Vulnérabilités de Poisoning de Cache dans BIND 9 Exposent les Serveurs DNS au Risque d’Attaques

Quelques jours après la divulgation de CVE-2025-59230 et CVE-2025-24990 des vulnérabilités zero-day dans Windows, un nouvel ensemble de failles critiques a émergé, ciblant cette fois l’épine dorsale du système de noms de domaine de l’Internet. L’Internet Systems Consortium (ISC), mainteneurs de BIND 9, le logiciel DNS le plus utilisé au monde, a révélé trois vulnérabilités de haute sévérité qui pourraient mettre en danger les utilisateurs et les organisations.

Deux de ces failles, CVE-2025-40778 et CVE-2025-40780, permettent aux attaquants d’empoisonner les caches DNS, redirigeant potentiellement les utilisateurs vers des sites malveillants qui semblent légitimes. Ces problèmes résultent d’une erreur de logique et de faiblesses dans la génération de nombres pseudo-aléatoires, compromettant la fiabilité des réponses DNS.

La troisième vulnérabilité, CVE-2025-8677, pourrait être exploitée pour déclencher des conditions de déni de service (DoS) sur les résolveurs DNS affectés, perturbant les services critiques de résolution de domaine. 

Plus de 35 000 vulnérabilités ont été signalées dans le monde jusqu’à présent en 2025, et le total de fin d’année pourrait dépasser 50 000. De manière alarmante, plus d’un tiers de ces vulnérabilités sont classées comme de Haute Sévérité ou Critiques, mettant en lumière un risque accru d’exploitation et soulignant le besoin urgent de mesures de cybersécurité robustes.

Inscrivez-vous à la plateforme SOC Prime pour accéder au flux global des menaces actives, qui offre des renseignements en temps réel sur les cybermenaces et des algorithmes de détection sélectionnés pour répondre aux menaces émergentes. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Appuyez sur le bouton Explorer les Détections pour voir l’ensemble des détections afin de se défendre de manière proactive contre les vulnérabilités critiques filtrées par le tag « CVE ».

Explorer les Détections

Les ingénieurs en sécurité peuvent également exploiter Uncoder AI, un IDE et un co-pilote pour l’ingénierie de détection. Avec Uncoder, les défenseurs peuvent instantanément convertir des IOCs en requêtes de chasse personnalisées, élaborer du code de détection à partir de rapports de menace bruts, générer des diagrammes de flux d’attaque, activer la prédiction des tags ATT&CK, profiter de l’optimisation des requêtes pilotée par l’IA, et traduire le contenu de détection sur plusieurs plateformes.

Analyse de CVE-2025-40778 et CVE-2025-40780

BIND (Berkeley Internet Name Domain), géré par le consortium à but non lucratif Internet Systems Consortium (ISC), est le logiciel de serveur DNS le plus utilisé au monde, alimentant les infrastructures critiques des FAI, des entreprises et des gouvernements. En raison de son déploiement étendu, les vulnérabilités dans BIND peuvent avoir des effets de grande envergure sur l’internet mondial.

Le 22 octobre 2025, trois vulnérabilités critiques ont été publiquement divulguées par l’ISC, impactant potentiellement des millions d’utilisateurs dans le monde entier. Les failles exposent l’infrastructure DNS à de multiples vecteurs d’attaque qui pourraient compromettre l’intégrité et la disponibilité de la résolution. Deux des vulnérabilités, CVE-2025-40778 et CVE-2025-40780, ont un score CVSS de 8,6, tandis que CVE-2025-8677 obtient un score de 7,5, toujours classé comme à haut risque. Toutes les trois peuvent être exploitées à distance via le réseau sans authentification, permettant aux attaquants d’empoisonner les caches DNS, de rediriger les utilisateurs vers des sites malveillants, d’intercepter les communications, ou de lancer des attaques par déni de service. 

CVE-2025-40778 résulte de la gestion trop permissive par BIND 9 des enregistrements de ressources non sollicités dans les réponses DNS. Les résolveurs récursifs peuvent mettre en cache des enregistrements qui n’ont pas été explicitement demandés, violant ainsi les principes de bailiwick. Un attaquant capable d’influer sur les réponses ou d’intercepter le trafic peut injecter des enregistrements falsifiés dans le cache. Une fois empoisonné, le résolveur renvoie des données contrôlées par l’attaquant pour les requêtes ultérieures, redirigeant potentiellement les utilisateurs vers des sites malveillants, interceptant des informations sensibles ou perturbant des services.

CVE-2025-40780 exploite une faiblesse dans le générateur de nombres pseudo-aléatoires (PRNG) de BIND, permettant aux attaquants de prédire les ports sources et les identifiants de requêtes. En anticipant ces valeurs, un attaquant peut injecter plus facilement des réponses malveillantes dans les caches de résolveurs, facilitant l’empoisonnement du cache et permettant la redirection du trafic utilisateur vers une infrastructure contrôlée par l’attaquant.

Les failles de sécurité décrites ci-dessus rappellent un événement historique de 2008, lorsque le chercheur Dan Kaminsky a découvert une faille sévère d’empoisonnement du cache DNS qui permettait aux attaquants d’inonder les résolveurs de fausses réponses et de rediriger les utilisateurs en masse vers des sites malveillants. La vulnérabilité originale exploitait les ID de transaction limités à 16 bits du DNS et le comportement prévisible de l’UDP, qui a ensuite été corrigé par une augmentation significative de l’entropie grâce aux ports et numéros de transaction randomisés. Comme la découverte de Kaminsky, les vulnérabilités BIND de 2025 soulignent le risque persistant d’empoisonnement de cache et renforcent la nécessité continue de sécuriser l’infrastructure DNS contre des attaques similaires.

CVE-2025-8677 implique des enregistrements DNSKEY malformés dans des zones spécialement conçues qui peuvent surcharger les ressources CPU des résolveurs. L’exploitation peut dégrader sévèrement les performances ou causer des conditions de déni de service pour les utilisateurs légitimes. Bien que les serveurs autoritaires soient en grande partie non affectés, les résolveurs récursifs restent à risque.

Pour atténuer complètement les trois vulnérabilités, les organisations devraient mettre à niveau vers les versions corrigées de BIND 9: 9.18.41, 9.20.15, ou 9.21.14, tandis que les utilisateurs de l’édition Preview devraient utiliser 9.18.41-S1 ou 9.20.15-S1. Actuellement, aucun exploit actif n’est connu et aucune solution de contournement n’existe, ce qui rend la mise à jour rapide la seule défense efficace.

Étant donné la menace croissante d’exploitation des vulnérabilités dans les logiciels largement utilisés, les organisations recherchent des méthodes efficaces pour renforcer leur posture de sécurité proactive et garder une longueur d’avance sur les adversaires. SOC Prime propose une suite de produits complète pour une sécurité d’entreprise prête à l’emploi, soutenue par l’IA, l’automatisation et des renseignements sur les menaces en temps réel, aidant les organisations mondiales à neutraliser les cybermenaces les plus anticipées.