CVE-2025-40778 e CVE-2025-40780: Vulnerabilidades de Envenenamento de Cache no BIND 9 Expõem os Servidores DNS ao Risco de Ataques
Apenas alguns dias após a divulgação de CVE-2025-59230 e CVE-2025-24990 vulnerabilidades de zero-day no Windows, surgiu um novo conjunto de falhas críticas, desta vez direcionadas à espinha dorsal do sistema de nomes de domínio da Internet. O Internet Systems Consortium (ISC), mantenedores do BIND 9, o software DNS mais utilizado do mundo, revelou três vulnerabilidades de alta gravidade que poderiam colocar usuários e organizações em risco.
Duas dessas falhas, CVE-2025-40778 e CVE-2025-40780, permitem que atacantes envenenem caches de DNS, potencialmente redirecionando os usuários para sites maliciosos que parecem legítimos. Esses problemas surgem de um erro de lógica e fraquezas na geração de números pseudoaleatórios, comprometendo a confiabilidade das respostas de DNS.
A terceira vulnerabilidade, CVE-2025-8677, poderia ser explorada para desencadear condições de negação de serviço (DoS) em resolvedores DNS afetados, interrompendo serviços críticos de resolução de domínios.
Mais de 35.000 vulnerabilidades foram relatadas globalmente até agora em 2025, e o total ao final do ano poderia ultrapassar 50.000. Alarmantemente, mais de um terço dessas vulnerabilidades são classificadas como de Alta Gravidade ou Críticas, destacando um maior risco de exploração e sublinhando a necessidade urgente de medidas de cibersegurança robustas.
Registre-se na Plataforma SOC Prime para acessar o feed de ameaças ativas global, que oferece inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção curados para abordar ameaças emergentes. Todas as regras são compatíveis com múltiplos formatos de SIEM, EDR e Data Lake e são mapeadas para o MITRE ATT&CK® framework. Além disso, cada regra é enriquecida com CTI links, linhas do tempo de ataques, configurações de auditoria, recomendações de triagem e mais contexto relevante. Aperte o botão Explorar Detecções para ver o conjunto completo de detecção para uma defesa proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Os engenheiros de segurança também podem aproveitar Uncoder AI, um IDE e copiloto para engenharia de detecção. Com Uncoder, os defensores podem converter instantaneamente IOCs em consultas de busca personalizadas, criar código de detecção a partir de relatórios de ameaças brutos, gerar diagramas de fluxo de ataque, habilitar a previsão de tags ATT&CK, aproveitar a otimização de consultas impulsionada por IA e traduzir conteúdo de detecção entre múltiplas plataformas.
Análise de CVE-2025-40778 e CVE-2025-40780
BIND (Berkeley Internet Name Domain), gerido pelo consórcio sem fins lucrativos Internet Systems Consortium (ISC), é o software de servidor DNS mais utilizado no mundo, alimentando infraestruturas críticas para ISPs, empresas e governos. Devido à sua ampla implementação, as vulnerabilidades no BIND podem ter efeitos de grande alcance na Internet global.
Em 22 de outubro de 2025, foram divulgadas publicamente três vulnerabilidades críticas pelo ISC, que potencialmente afetam milhões de usuários globalmente. As falhas expõem a infraestrutura de DNS a múltiplos vetores de ataque que poderiam comprometer a integridade e disponibilidade da resolução. Duas das vulnerabilidades, CVE-2025-40778 e CVE-2025-40780, têm uma pontuação CVSS de 8.6, enquanto CVE-2025-8677 tem uma pontuação de 7.5, ainda classificada como de alto risco. Todas as três podem ser exploradas remotamente através da rede sem autenticação, permitindo que atacantes envenenem caches de DNS, redirecionem usuários para websites maliciosos, interceptem comunicações ou lancem ataques de negação de serviço.
CVE-2025-40778 surge da gestão excessivamente permissiva dos registros de recursos não solicitados nas respostas DNS do BIND 9. Os resolvedores recursivos podem armazenar em cache registros que não foram solicitados explicitamente, violando os princípios de jurisdição. Um atacante que possa influenciar as respostas ou interceptar o tráfego pode injetar registros falsificados no cache. Uma vez envenenado, o resolvedor retorna dados controlados pelo atacante para consultas posteriores, potencialmente redirecionando usuários para sites maliciosos, interceptando informações sensíveis ou interrompendo serviços.
CVE-2025-40780 explora uma fraqueza no Gerador de Números Pseudoaleatórios (PRNG) do BIND, permitindo que atacantes prevejam portas de origem e IDs de consulta. Ao antecipar esses valores, um atacante pode injetar respostas maliciosas nos caches do resolvedor mais facilmente, facilitando o envenenamento de caches e permitindo o redirecionamento do tráfego do usuário para a infraestrutura controlada pelo atacante.
Os buracos de segurança descritos acima refletem um evento histórico de 2008, quando o pesquisador Dan Kaminsky expôs uma grave falha de envenenamento de cache DNS que permitia que atacantes inundassem resolvedores com respostas falsas e redirecionassem em massa usuários para sites maliciosos. A vulnerabilidade original explorava os limitados 16 bits de IDs de transação de DNS e o comportamento previsível de UDP, que mais tarde foi corrigido aumentando drasticamente a entropia através de portas e números de transação aleatorizados. Assim como a descoberta de Kaminsky, as vulnerabilidades do BIND de 2025 destacam o risco persistente de envenenamento de cache e sublinham a necessidade contínua de assegurar a infraestrutura DNS contra ataques semelhantes.
CVE-2025-8677 envolve registros DNSKEY malformados em zonas especialmente projetadas que podem sobrecarregar os recursos de CPU do resolvedor. A exploração pode degradar severamente o desempenho ou causar condições de negação de serviço para usuários legítimos. Enquanto os servidores autoritativos não são majoritariamente afetados, os resolvedores recursivos continuam em risco.
Para mitigar completamente as três vulnerabilidades, as organizações devem atualizar para as versões corrigidas do BIND 9: 9.18.41, 9.20.15, ou 9.21.14, enquanto os usuários da Edição Previa devem usar 9.18.41-S1 ou 9.20.15-S1. Atualmente, não se conhecem exploits ativos, e não existem soluções alternativas, portanto a aplicação oportuna de patches é a única defesa efetiva.
Dada a crescente ameaça de exploração de vulnerabilidades em software amplamente utilizado, as organizações estão buscando métodos eficazes para fortalecer sua postura de segurança proativa e se manter um passo à frente dos adversários. O SOC Prime cura um conjunto completo de produtos para uma segurança pronta para empresas apoiada por IA, automação e inteligência de ameaças em tempo real, ajudando organizações globais a superar as ameaças cibernéticas que mais antecipam.
