CVE-2025-40778 및 CVE-2025-40780: BIND 9의 캐시 중독 취약점으로 DNS 서버가 공격 위험에 노출됨
공개된 지 며칠 만에 CVE-2025-59230 및 CVE-2025-24990 윈도우의 제로데이 취약점에 이어 이번에는 인터넷 도메인 네임 시스템의 근간을 목표로 하는 치명적인 결함 세트가 등장했습니다. 세계에서 가장 널리 사용되는 DNS 소프트웨어인 BIND 9의 관리자인 인터넷 시스템 컨소시엄(ISC)은 사용자와 조직을 위험에 빠뜨릴 수 있는 세 가지 높은 심각도의 취약점을 공개했습니다.
이 중 두 가지 결함인 CVE-2025-40778 및 CVE-2025-40780는 공격자가 DNS 캐시를 중독시키고 사용자들을 합법적으로 보이는 악성 사이트로 리디렉션할 수 있게 합니다. 이러한 문제들은 논리적 오류와 의사 난수 생성기의 취약점으로 인해 발생하며 DNS 응답의 신뢰성을 저하시킵니다.
세 번째 취약점인 CVE-2025-8677은 영향을 받은 DNS 리졸버에서 서비스 거부(DoS) 상태를 유발할 수 있으며, 중요한 도메인 해상도 서비스를 방해할 수 있습니다.
2025년 현재까지 전 세계적으로 35,000개 이상의 취약점 이 보고되었으며, 연말까지 총 50,000개를 초과할 수 있습니다. 놀랍게도 이 취약점 중 3분의 1 이상이 높은 심각도 또는 치명적으로 평가되며, 이는 악용의 위험이 증가하고 강력한 사이버 보안 조치의 긴급 필요성을 강조합니다.
SOC Prime 플랫폼에 가입하여 실시간 사이버 위협 인텔리전스와 선별된 탐지 알고리즘을 제공하는 글로벌 활성 위협 피드를 액세스하십시오. 모든 규칙은 여러 SIEM, EDR 및 Data Lake 형식과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한 각 규칙은 CTI 링크, 공격 타임라인, 감사 구성, 분류 권장 사항 및 더 많은 관련 컨텍스트로 강화되어 있습니다. “CVE” 태그로 필터링된 중요한 취약점에 대한 사전 방어를 위해 전체 탐지 스택을 보려면 탐지 탐색 버튼을 누르십시오.
보안 엔지니어는 또한 Uncoder AI를 활용할 수 있으며, 이는 탐지 엔지니어링을 위한 IDE 및 공동 조종사입니다. Uncoder를 사용하면 방어자들이 IOC를 즉시 맞춤형 사냥 쿼리로 변환하고, 원시 위협 보고서로부터 탐지 코드를 작성하며, 공격 흐름 다이어그램을 생성하고, ATT&CK 태그 예측을 가능하게 하며, AI 구동 쿼리 최적화를 활용하고, 다중 플랫폼 간에 탐지 콘텐츠를 번역할 수 있습니다.
CVE-2025-40778 및 CVE-2025-40780 분석
비영리 인터넷 시스템 컨소시엄(ISC)이 관리하는 BIND(버클리 인터넷 네임 도메인)는 세계에서 가장 널리 사용되는 DNS 서버 소프트웨어로, ISP, 기업 및 정부의 중요한 인프라를 지원합니다. 광범위한 배포로 인해 BIND의 취약점은 전 세계 인터넷에 광범위한 영향을 미칠 수 있습니다.
2025년 10월 22일, ISC가 전 세계 수백만 사용자에게 잠재적으로 영향을 미칠 수 있는 세 가지 치명적인 취약점을 공개했습니다. 이 결함들은 여러 공격 벡터를 통해 DNS 인프라의 해결 무결성과 가용성을 손상시킬 수 있습니다. 두 가지 취약점인 CVE-2025-40778 및 CVE-2025-40780는 CVSS 점수가 8.6점이며, CVE-2025-8677는 7.5점을 받아 여전히 고위험으로 분류됩니다. 세 가지 모두 인증 없이 네트워크를 통해 원격으로 악용될 수 있으며, 공격자가 DNS 캐시를 중독시키고 사용자들을 악성 웹사이트로 리디렉션하거나 통신을 가로채거나 서비스 거부 공격을 수행할 수 있습니다.
CVE-2025-40778 은 BIND 9의 DNS 응답 내 명시적으로 요청되지 않은 리소스 레코드를 과도하게 허용하는 처리에서 발생합니다. 재귀적 리졸버는 명시적으로 요청되지 않은 레코드를 캐시할 수 있으며, 이는 bailiwick 원칙을 위반합니다. 응답을 영향을 미치거나 트래픽을 가로챌 수 있는 공격자는 캐시에 위조된 레코드를 주입할 수 있습니다. 중독된 후 리졸버는 이후 쿼리에 대해 공격자가 제어하는 데이터를 반환하여 사용자들을 악성 사이트로 리디렉션하거나 민감한 정보를 가로채거나 서비스를 방해할 수 있습니다.
CVE-2025-40780 는 BIND의 Pseudo Random Number Generator (PRNG)에서의 취약점을 이용해 공격자가 소스 포트와 쿼리 ID를 예측할 수 있게 합니다. 이러한 값을 예상함으로써, 공격자는 리졸버 캐시에 악성 응답을 더 쉽게 주입할 수 있어 캐시 중독을 용이하게 하고 사용자 트래픽을 공격자가 제어하는 인프라로 리디렉션 할 수 있게 합니다.
위에서 설명한 보안 취약점은 2008년 연구자 Dan Kaminsky가 DNS 캐시 중독 결함을 노출하여 공격자가 가짜 응답을 홍수시켜 사용자를 악성 사이트로 대량으로 리디렉션할 수 있도록 한 역사적 사건을 상기시킵니다. 원래 취약점은 DNS의 제한된 16비트 트랜잭션 ID와 예측 가능한 UDP 동작을 이용했으며, 이는 나중에 난수를 증가시켜 포트와 트랜잭션 번호를 무작위화함으로써 수정되었습니다. Kaminsky의 발견과 같이 2025년 BIND의 취약점은 캐시 중독의 지속적인 위험을 강조하고 유사한 공격에 대비한 DNS 인프라의 보안 필요성을 강조합니다.
CVE-2025-8677 은 리졸버 CPU 자원을 과도하게 소모할 수 있는 특수하게 작성된 영역의 잘못된 형식의 DNSKEY 레코드와 관련이 있습니다. 이를 악용하면 성능이 심각하게 저하되거나 정당한 사용자에 대한 서비스 거부 상태를 유발할 수 있습니다. 권한 서버는 큰 영향을 받지 않지만 재귀적 리졸버는 여전히 위험에 노출됩니다.
세 가지 취약점을 완전히 해결하려면 조직은 패치된 BIND 9 버전으로 업그레이드해야 합니다: 9.18.41, 9.20.15, 또는 9.21.14, 프리뷰 에디션 사용자는 9.18.41-S1 또는 9.20.15-S1을 사용해야 합니다. 현재 알려진 활성 악용은 없으나, 가능한 해결책이 없기 때문에 적시 패치가 유일한 효과적인 방어 수단입니다.
널리 사용되는 소프트웨어의 취약점 악용 위협이 증가함에 따라 조직은 사전 방어 보안 태세를 강화하고 상대보다 한 발 앞서기 위한 효과적인 방법을 찾고 있습니다. SOC 프라임은 완벽한 제품군 을 제공하여 AI, 자동화 및 실시간 위협 인텔리전스를 지원하는 기업 대응 보안을 제공합니다. 이는 전 세계 조직들이 가장 예상되는 사이버 위협을 이겨내는 데 도움을 줍니다.
