Pengembang perangkat lunak DNS BIND yang banyak digunakan telah memperingatkan tentang dua kerentanan tingkat tinggi yang dapat memungkinkan serangan keracunan cache, mirip dengan yang diungkap pada 2008. Unbound, penyelesai DNS lainnya, menghadapi cacat terkait yang dilaporkan oleh peneliti yang sama. Patch untuk semua masalah tersedia pada 22 Oktober 2025.
Perangkat lunak resolusi nama domain paling populer di Internet, BIND, rentan terhadap dua cacat yang dilacak sebagai CVE-2025-40778 dan CVE-2025-40780, masing-masing dengan peringkat keparahan 8.6. Ini berasal dari kesalahan logika dan kelemahan dalam pembangkitan angka acak pseudo, masing-masing, yang memungkinkan penyerang meracuni cache DNS dan mengarahkan pengguna ke situs berbahaya yang tidak dapat dibedakan dari yang sah.
Secara terpisah, pembuat Unbound mengungkapkan kerentanan serupa dengan skor keparahan 5.6, juga diidentifikasi oleh peneliti yang sama. Semua patch dirilis pada Rabu, 22 Oktober 2025.
Masalah ini menghidupkan kembali kekhawatiran dari penemuan Dan Kaminsky pada 2008 tentang keracunan cache DNS, yang mengeksploitasi sifat satu arah dan kemampuan pemalsuan paket UDP. Penyerang dapat membanjiri penyelesai dengan respons palsu menggunakan ID transaksi yang bervariasi—terbatas pada 65.536 kemungkinan—untuk menyuntikkan alamat IP berbahaya, seperti mengganti 3.15.119.63 arstechnica.com dengan yang dikendalikan penyerang.
Industri merespons dengan meningkatkan entropi melalui port sumber acak di luar 53, dikombinasikan dengan ID transaksi, yang meningkatkan kemungkinan menjadi miliaran dan menggagalkan serangan. Namun, CVE-2025-40780 melemahkan ini: “Dalam keadaan tertentu, karena kelemahan dalam Pembangkit Angka Acak Pseudo (PRNG) yang digunakan, penyerang dapat memprediksi port sumber dan ID kueri yang akan digunakan BIND,” kata pengembang BIND. Ini dapat menipu BIND untuk menyimpan respons penyerang di cache jika pemalsuan berhasil.
CVE-2025-40778 memungkinkan penyuntikan data palsu: “Dalam keadaan tertentu, BIND terlalu longgar saat menerima catatan dari jawaban, memungkinkan penyerang menyuntikkan data palsu ke cache,” jelas pengembang. Eksploitasi memerlukan pemalsuan jaringan dan penyesuaian waktu yang tepat, hanya memengaruhi integritas cache, bukan kompromi server.
Red Hat mencatat: “Karena eksploitasi tidak sepele, memerlukan pemalsuan tingkat jaringan dan penyesuaian waktu yang tepat, dan hanya memengaruhi integritas cache tanpa kompromi server, kerentanan dianggap Penting daripada Kritis.” Langkah kontra seperti DNSSEC, pembatasan laju, dan firewall tetap efektif, membatasi dampak dibandingkan 2008. Server otoritatif tidak terpengaruh. Organisasi harus menerapkan patch segera.