CVE-2025-40778とCVE-2025-40780: BIND 9におけるキャッシュ中毒の脆弱性がDNSサーバーを攻撃のリスクにさらす

公開からわずか数日後、 CVE-2025-59230およびCVE-2025-24990 Windowsのゼロデイ脆弱性がありますが、今回はインターネットのドメインネームシステム（DNS）のバックボーンを標的とした新たな重大な脆弱性セットが出現しました。世界で最も使用されているDNSソフトウェアBIND 9のメンテナであるInternet Systems Consortium（ISC）は、高い重大度の3つの脆弱性を明らかにし、ユーザーや組織にリスクをもたらす可能性があるとしています。

これらの脆弱性のうち2つ、CVE-2025-40778およびCVE-2025-40780は、攻撃者がDNSキャッシュを毒化し、ユーザーを信頼できるように見える悪意のあるサイトにリダイレクトする可能性があります。これらの問題は、ロジックエラーと疑似乱数生成の弱点から生じ、DNS応答の信頼性を損なっているのです。

3番目の脆弱性、CVE-2025-8677は、DNSリゾルバーにおいてサービス拒否（DoS）条件を引き起こす可能性があり、重要なドメイン解決サービスを中断させる可能性があります。

35,000を超える 脆弱性は、 2025年までに世界中で報告され、年末には50,000を超える可能性があります。驚くべきことに、これらの脆弱性の3分の1以上が高い重大度またはクリティカルとして分類されており、搾取のリスクが高まっていることを強調しており、強力なサイバーセキュリティ対策が緊急に求められています。

SOCプライムプラットフォームに登録 して、グローバルなアクティブな脅威フィードにアクセスしてください。これは、サイバー脅威のリアルタイムインテリジェンスと、エマージング脅威に対処するためにキュレーションされた検出アルゴリズムを提供します。すべてのルールは、複数のSIEM、EDR、データレイクフォーマットと互換性があり、 MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールは、 CTI リンク、攻撃のタイムライン、監査設定、トリアージの推奨事項、および関連する詳細なコンテキストで強化されています。「 検出を見る」 ボタンを押して、CVEタグ別にフィルタリングされた重要な脆弱性に対するプロアクティブな防御のための完全な検出セットを確認してください。

検出を見る」

セキュリティエンジニアはまた、 Uncoder AIを利用することができます。これは、検出エンジニアリング用のIDEおよびコパイロットです。Uncoderを使用すると、防御者はIOCをカスタム検索クエリに瞬時に変換し、生の脅威レポートから検出コードを生成し、攻撃フローチャートを作成し、ATT&CKタグの予測を可能にし、AI駆動型のクエリ最適化を活用し、検出コンテンツを複数のプラットフォーム間で翻訳できます。

CVE-2025-40778とCVE-2025-40780の分析

非営利インターネットシステムコンソーシアム（ISC）が管理するBIND（バークレー・インターネット・ネーム・ドメイン）は、世界で最も使用されているDNSサーバソフトウェアであり、ISP、企業、政府の重要なインフラを支えています。その広範な展開のため、BINDの脆弱性は、グローバルインターネットに幅広い影響を及ぼす可能性があります。

2025年10月22日、ISCによって世界中の数百万人のユーザーに潜在的に影響を与える3つの重大な脆弱性が公にされました。これらの欠陥は、DNSインフラをいくつかの攻撃ベクターに対して露出させ、その整合性と利用可能性を妥協させる可能性があります。2つの脆弱性、CVE-2025-40778およびCVE-2025-40780は、CVSSスコアが8.6であり、CVE-2025-8677は7.5のスコアで高リスクとして分類されています。これらすべては、認証なしでネットワークを介してリモートで悪用可能であり、攻撃者がDNSキャッシュを毒し、ユーザーを悪意のあるウェブサイトにリダイレクトし、通信を傍受するか、またはサービス拒否攻撃を起こすことを可能にします。

CVE-2025-40778は、 BIND 9のDNS応答の過度に許可されたリソースレコード管理から生じます。再帰的リゾルバは、明示的に要求されていないレコードをキャッシュに保存でき、管轄の原則に違反しています。攻撃者が応答を影響するか、通信を傍受できる場合、キャッシュに改ざんされたレコードを注入できます。キャッシュが毒されると、そのリゾルバは次のクエリに対し攻撃者が制御するデータを返し、ユーザーを悪意のあるサイトにリダイレクトし、機密情報を傍受し、またはサービスを中断する可能性があります。

CVE-2025-40780は、 BINDの擬似乱数生成器（PRNG）の弱点を利用し、攻撃者が送信元ポートとクエリIDを予測できるようにします。これらの値を事前に予測することにより、攻撃者が簡単にリゾルバキャッシュに悪意のある応答を注入し、キャッシュの毒化を容易にし、ユーザートラフィックを攻撃者が制御するインフラにリダイレクトできます。

上記のセキュリティホールは、2008年に研究者ダン・カミンスキーが、偽の応答でリゾルバを氾濫させ、大量のユーザーを悪意のあるサイトにリダイレクトできる重大なDNSキャッシュ毒化脆弱性を公開した歴史的なイベントを反映しています。元の脆弱性は、DNSトランザクションIDの限られた16ビットとUDPの予測可能な動作を利用し、その後、ポートとトランザクション番号の乱数化によるエントロピーの大幅な増加で修正されました。カミンスキーの発見と同様に、2025年のBINDの脆弱性は、キャッシュの毒化の持続的なリスクを強調し、類似の攻撃に対するDNSインフラの継続的な強化の必要性を示しています。

CVE-2025-8677は、 特別に設計されたゾーン内の不正なDNSKEYレコードに関係しています。これにより、リゾルバのCPUリソースを圧迫する可能性があります。攻撃が成功すれば、性能が大幅に低下する、もしくは正当なユーザーに対するサービス拒否条件を引き起こす可能性があります。権威サーバーは主に影響を受けませんが、再帰的リゾルバは依然として危険にさらされています。

3つの脆弱性を完全に緩和するために、組織は修正されたBIND 9の バージョンにアップデートする必要があります。9.18.41、9.20.15、または9.21.14です。プレビュー版のユーザーは9.18.41-S1または9.20.15-S1を使用してください。現在、アクティブなエクスプロイトは知られておらず、回避策も存在しません。したがって、パッチの適時の適用は唯一の効果的な防御です。

広く使用されているソフトウェアでの脆弱性の悪用の脅威が増大する中、組織はそのセキュリティ姿勢を強化し、対抗者に一歩先んじようとしています。SOCプライムは、 包括的な製品セットを提供しています。 これは、AI、自動化、リアルタイムの脅威インテリジェンスによってサポートされ、人々が最も予期しているサイバー脅威を克服するのを支援します。