مُحَلِّلَات DNS BIND وUnbound تكشف عن ثغرات تسميم ذاكرة التخزين المؤقت

برنامج حل أسماء النطاقات الأكثر شعبية على الإنترنت، BIND، عرضة لخللين يُتَتبَعَان كـ CVE-2025-40778 و CVE-2025-40780، كل مع تصنيف خطورة 8.6. ينبعان من خطأ منطقي وضعف في توليد الأرقام العشوائية الزائفة، على التوالي، مما يسمح للمهاجمين بتسميم ذاكرات التخزين المؤقت DNS وإعادة توجيه المستخدمين إلى مواقع ضارة غير قابلة للتمييز عن الشرعية.

منفصلًا، كشف صانعو Unbound عن ثغرة مشابهة بدرجة خطورة 5.6، تم تحديدها أيضًا من قبل الباحثين نفسهم. تم إصدار جميع التصحيحات يوم الأربعاء، 22 أكتوبر 2025.

هذه المشكلات تعيد إحياء المخاوف من اكتشاف دان كامينسكي في 2008 لتسميم ذاكرة التخزين المؤقت DNS، الذي استغل الطبيعة أحادية الاتجاه وقابلية التزييف للحزم UDP. يمكن للمهاجمين إغراق المُحَلِّلات بردود مزيفة باستخدام معرفات معاملات متنوعة —محدودة بـ 65,536 إمكانية— لإدخال عناوين IP ضارة، مثل استبدال 3.15.119.63 لـ arstechnica.com بعنوان تحت سيطرة المهاجم.

ردت الصناعة بتعزيز الإنتروبيا من خلال منافذ مصدر عشوائية تتجاوز 53، مدمجة مع معرفات المعاملات، مما يرفع الإمكانيات إلى مليارات ويمنع الهجمات. ومع ذلك، يضعف CVE-2025-40780 ذلك: “في ظروف محددة، بسبب ضعف في مولد الأرقام العشوائية الزائفة (PRNG) المستخدم، يمكن للمهاجم التنبؤ بمنفذ المصدر ومعرف الاستعلام الذي سيستخدمه BIND”، قال مطورو BIND. يمكن أن يخدع هذا BIND لتخزين ردود المهاجم في الذاكرة إذا نجح التزييف.

يسمح CVE-2025-40778 بإدخال بيانات مزيفة: “في ظروف معينة، يكون BIND متساهلاً جداً عند قبول السجلات من الإجابات، مما يسمح للمهاجم بإدخال بيانات مزيفة في الذاكرة”، شرح المطورون. تتطلب الاستغلال تزييف الشبكة وتوقيت دقيق، مما يؤثر فقط على سلامة الذاكرة، لا على اختراق الخادم.

أشارت Red Hat: “بما أن الاستغلال غير تافه، يتطلب تزييفًا على مستوى الشبكة وتوقيتًا دقيقًا، ويؤثر فقط على سلامة الذاكرة دون اختراق الخادم، فإن الثغرة تعتبر مهمة بدلاً من حرجة”. تظل الإجراءات المضادة مثل DNSSEC، والحد من المعدل، والجدران النارية فعالة، مما يحد من التأثير مقارنة بـ 2008. الخوادم المصدرية غير متأثرة. يجب على المنظمات تطبيق التصحيحات فورًا.