CVE-2025-40778 및 CVE-2025-40780: BIND 9의 캐시 포이즈닝 취약점

분석

CVE-2025-40778 및 CVE-2025-40780은 세계에서 가장 널리 배포된 DNS 서버인 BIND 9에서 ISP, 기업 및 정부 네트워크에서 사용되는 고심각도 캐시 중독 취약점입니다. 2025년 10월 22일, ISC는 원격으로 악용 가능한 세 가지 BIND 9 결함을 공개했습니다: CVE-2025-40778, CVE-2025-40780 (둘 다 CVSS 8.6), 및 CVE-2025-8677 (CVSS 7.5), 모두 네트워크를 통해 인증 없이 도달 가능합니다. CVE-2025-40778은 바일릭 규칙을 위반하는 데이터를 캐시할 수 있도록 허용하는 응답 기록의 무허가 수락 처리로 인해 발생하며, 이를 통해 공격자가 제어하는 인프라로 사용자를 리디렉션하는 캐시 중독을 가능하게 합니다. CVE-2025-40780은 소스 포트 및 쿼리 ID 무작위화를 약화시키며, 이를 통해 공격자가 값 예측을 쉽게 하고 대역 내에서 위조 응답을 ‘승리’할 수 있게 합니다. CVE-2025-8677은 잘못된 DNSKEY 레코드를 악용하여 CPU 사용량을 100%로 밀어 DoS 조건을 생성하고 캐시-중독 캠페인을 증폭합니다.

조사

CVE-2025-40778, CVE-2025-40780 및 CVE-2025-8677의 조사는 DNS 인프라의 전체 인벤토리에서 시작해야 합니다. 내부, 랩 및 ‘잊혀진’ 인스턴스를 포함하여 모든 BIND 9 재귀 리졸버를 식별하고 각 서버를 해당 정확한 BIND 버전 및 역할(재귀, 권한, 포워더, 검증자)에 매핑하십시오. ISC에 따르면, 영향을 받는 배포는 9.18.41, 9.20.15 또는 9.21.14(또는 Preview 9.18.41-S1 / 9.20.15-S1)로 업그레이드해야 합니다. CVE-2025-40778의 경우 캐시 중독 신호를 찾으십시오: 결코 쿼리하지 않은 이름의 캐시된 기록, 예기치 않은 추가 기록, 계획된 DNS 업데이트가 없는 고가치 도메인의 갑작스러운 IP 변경. CVE-2025-40780의 경우 엔트로피 남용을 찾으십시오: 신뢰할 수 없는 IP에서의 위조되거나 반복된 응답의 폭발, 유사한 쿼리의 높은 볼륨, 클라이언트측 TLS 또는 브라우저 경고. CVE-2025-8677이 DoS를 유발할 수 있으므로 반복적인 SERVFAIL/시간 초과, 이상한 DNSSEC 존, 특정 쿼리에 연결된 CPU 또는 대기 시간 스파이크를 모니터링하십시오.

완화

CVE-2025-40778, CVE-2025-40780 및 CVE-2025-8677의 경우, ISC는 해결책이 없으며 — BIND 9 패치가 주요 방어 수단입니다. 재귀 리졸버는 9.18.41, 9.20.15 또는 9.21.14, 또는 Preview 빌드 9.18.41-S1 / 9.20.15-S1로 업그레이드해야 하며, 배포 패키지가 ISC 지침에 맞는지 확인하십시오. 동시에 리졸버 구성 강화를 통해 신뢰할 수 있는 클라이언트 및 내부 네트워크로 재귀를 제한하고, 인터넷의 공개 리졸버를 피하며, 추가 기록의 최소 수락으로 엄격한 바일릭 검사를 시행하십시오. 재귀 리졸버에서 DNSSEC 검증을 활성화하고, 변조 징후를 모니터링하며, 네트워크 수준의 제어를 추가하여 의심스러운 DNS 트래픽 또는 악성 리졸버 활동을 필터링하고 속도를 제한하십시오. 마지막으로, 신호 센서 감시, SERVFAIL/시간 초과 스파이크, 반복 쿼리, 또는 CVE-2025-8677의 악용을 나타낼 수 있는 DNSKEY 처리 이상 징후에 대한 경고와 함께 모니터링을 강화하십시오.

대응

DNS 인프라가 CVE-2025-40778, CVE-2025-40780 또는 CVE-2025-8677을 통해 공격당했거나 손상되었다고 의심되면, 우선 DNS 서비스를 안정화하고 보호하십시오. 가능한 경우 패치된 보조 리졸버를 사용하여 페일오버하고 취약한 리졸버에 외부 접근을 제한하면서 내부에서는 분석이 가능하도록 유지하십시오. 리졸버 캐시를 비워 중독된 항목을 제거하고 고가치 내부 존의 기록을 권위 있는 소스로 확인한 후 다시 사용하십시오. 중요한 도메인(IdP, 이메일, VPN, 관리자 포털, 결제)의 IP 해결 및 DNSSEC 상태를 등록 기관 및 변경 로그와 대조하여 DNS 무결성을 확인하십시오. BIND 로그, 시스템 로그 및 패킷 캡처를 보존하여 피싱 사이트로의 리디렉션, 가짜 SSO 포털 또는 불량 메일 서버의 증거를 포렌식 검토를 위해 탐색하십시오. 패치 후에는 강화된 구성으로 재배포하고, 업데이트된 SIEM 탐지 및 DNS 캐시 중독 위험 및 새로운 보호 조치에 대해 팀을 교육하십시오.