CVE-2025-40778 e CVE-2025-40780: Vulnerabilità di Avvelenamento della Cache in BIND 9 Espongono i Server DNS al Rischio di Attacchi
Pochi giorni dopo la divulgazione di CVE-2025-59230 e CVE-2025-24990 vulnerabilità zero-day in Windows, è emersa una nuova serie di difetti critici, questa volta prendendo di mira l’ossatura del sistema dei nomi di dominio di Internet. L’Internet Systems Consortium (ISC), manutentore di BIND 9, il software DNS più utilizzato al mondo, ha rivelato tre vulnerabilità ad alta gravità che potrebbero mettere a rischio utenti e organizzazioni.
Due di questi difetti, CVE-2025-40778 e CVE-2025-40780, consentono agli attaccanti di avvelenare le cache DNS, potenzialmente reindirizzando gli utenti verso siti malevoli che sembrano legittimi. Questi problemi derivano da un errore logico e debolezze nella generazione di numeri pseudo-casuali, minando l’affidabilità delle risposte DNS.
La terza vulnerabilità, CVE-2025-8677, potrebbe essere sfruttata per innescare condizioni di denial-of-service (DoS) sui risolutori DNS interessati, interrompendo servizi di risoluzione del dominio critici.
Oltre 35.000 vulnerabilità sono state segnalate a livello globale fino ad ora nel 2025, e il totale di fine anno potrebbe superare le 50.000. Allarmante è il fatto che oltre un terzo di queste vulnerabilità sono classificate come di Alta Gravità o Critiche, evidenziando un rischio maggiore di sfruttamento e sottolineando la necessità urgente di misure di cybersicurezza robuste.
Registrati alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, che offre intelligence in tempo reale su minacce informatiche e algoritmi di rilevamento curati per affrontare minacce emergenti. Tutte le regole sono compatibili con molti formati SIEM, EDR e Data Lake e mappati allo MITRE ATT&CK® framework. Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro contesto rilevante. Premi il pulsante Esplora Rilevamenti per visualizzare l’intero stack di rilevamento per una difesa proattiva contro le vulnerabilità critiche filtrate dal tag “CVE”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria del rilevamento. Con Uncoder, i difensori possono convertire istantaneamente gli IOC in query di caccia personalizzate, creare codice di rilevamento da report di minacce grezze, generare diagrammi di flusso degli attacchi, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’intelligenza artificiale e tradurre contenuti di rilevamento su più piattaforme.
Analisi di CVE-2025-40778 e CVE-2025-40780
BIND (Berkeley Internet Name Domain), gestito dal consorzio senza scopo di lucro Internet Systems Consortium (ISC), è il software per server DNS più utilizzato al mondo, alimentando infrastrutture critiche per ISP, aziende e governi. A causa della sua ampia distribuzione, le vulnerabilità in BIND possono avere effetti di vasta portata su Internet globale.
Il 22 ottobre 2025, tre vulnerabilità critiche sono state divulgate pubblicamente da ISC, potenzialmente impattando milioni di utenti in tutto il mondo. I difetti espongono l’infrastruttura DNS a molteplici vettori di attacco che potrebbero compromettere integrità e disponibilità nella risoluzione. Due delle vulnerabilità, CVE-2025-40778 e CVE-2025-40780, hanno un punteggio CVSS di 8.6, mentre CVE-2025-8677 ha un punteggio di 7.5, ancora classificato come rischio elevato. Tutte e tre possono essere sfruttate remotamente sulla rete senza autenticazione, consentendo agli attaccanti di avvelenare le cache DNS, reindirizzare gli utenti verso siti web malevoli, intercettare comunicazioni o lanciare attacchi di tipo denial-of-service.
CVE-2025-40778 deriva dalla gestione eccessivamente permissiva, da parte di BIND 9, dei record di risorse non richiesti nelle risposte DNS. I risolutori ricorsivi possono mettere in cache record che non sono stati esplicitamente richiesti, violando i principi di bailiwick. Un attaccante in grado di influenzare le risposte o intercettare il traffico può iniettare record falsi nella cache. Una volta avvelenato, il risolutore restituisce dati controllati dagli attaccanti per query successive, potenzialmente reindirizzando gli utenti verso siti malevoli, intercettando informazioni sensibili o interrompendo i servizi.
CVE-2025-40780 sfrutta una debolezza nel generatore di numeri pseudo-casuali (PRNG) di BIND, consentendo agli attaccanti di prevedere le porte sorgente e gli ID delle query. Prevedendo questi valori, un attaccante può iniettare risposte malevoli nelle cache dei risolutori con maggiore facilità, facilitando l’avvelenamento della cache e abilitando il reindirizzamento del traffico utente a infrastrutture controllate dall’attaccante.
I buchi di sicurezza sopra descritti riecheggiano un evento storico del 2008, quando il ricercatore Dan Kaminsky espose una grave falla di avvelenamento della cache DNS che permetteva agli attaccanti di inondare i risolutori con risposte false e reindirizzare in massa gli utenti verso siti malevoli. La vulnerabilità originale sfruttava gli ID di transazione limitati a 16 bit e il comportamento prevedibile di UDP del DNS, che fu in seguito corretta aumentando drasticamente l’entropia tramite porte e numeri di transazione randomizzati. Come la scoperta di Kaminsky, le vulnerabilità BIND del 2025 evidenziano il rischio persistente di avvelenamento della cache e sottolineano la continua necessità di proteggere l’infrastruttura DNS contro attacchi simili.
CVE-2025-8677 coinvolge record DNSKEY malformati in zone appositamente costruite che possono sovraccaricare le risorse CPU del risolutore. Lo sfruttamento può degradare pesantemente le prestazioni o causare condizioni di denial-of-service per gli utenti legittimi. Sebbene i server autoritativi siano in gran parte non colpiti, i risolutori ricorsivi rimangono a rischio.
Per mitigare completamente tutte e tre le vulnerabilità, le organizzazioni dovrebbero aggiornare alle versioni corrette di BIND 9: 9.18.41, 9.20.15 o 9.21.14, mentre gli utenti della Preview Edition dovrebbero usare 9.18.41-S1 o 9.20.15-S1. Attualmente, non sono noti exploit attivi e non esistono soluzioni alternative, rendendo la tempestiva applicazione delle patch l’unica difesa efficace.
Dato la crescente minaccia di sfruttamento delle vulnerabilità nel software ampiamente usato, le organizzazioni stanno cercando metodi efficaci per rafforzare la propria postura di sicurezza proattiva e rimanere un passo avanti agli avversari. SOC Prime cura una suite completa di prodotti per la sicurezza aziendale pronti per l’uso, supportati da intelligenza artificiale, automazione e intelligence delle minacce in tempo reale, aiutando le organizzazioni globali a superare le minacce informatiche che più si aspettano.
