Desenvolvedores do software DNS BIND, amplamente utilizado, alertaram sobre duas vulnerabilidades de alta severidade que podem permitir ataques de envenenamento de cache, semelhantes às reveladas em 2008. Unbound, outro resolvedor DNS, enfrenta uma falha relacionada relatada pelos mesmos pesquisadores. Correções para todos os problemas ficaram disponíveis em 22 de outubro de 2025.
O software de resolução de nomes de domínio mais popular da Internet, BIND, é vulnerável a duas falhas rastreadas como CVE-2025-40778 e CVE-2025-40780, cada uma com uma classificação de severidade de 8.6. Elas decorrem de um erro lógico e uma fraqueza na geração de números pseudoaleatórios, respectivamente, permitindo que atacantes envenenem caches DNS e redirecionem usuários para sites maliciosos indistinguíveis dos legítimos.
Separadamente, os criadores do Unbound divulgaram uma vulnerabilidade similar com pontuação de severidade de 5.6, também identificada pelos mesmos pesquisadores. Todas as correções foram lançadas na quarta-feira, 22 de outubro de 2025.
Esses problemas revivem preocupações com a descoberta de Dan Kaminsky em 2008 sobre envenenamento de cache DNS, que explorava a natureza unidirecional e falsificável dos pacotes UDP. Atacantes podiam inundar resolvedores com respostas falsificadas usando IDs de transação variados — limitados a 65.536 possibilidades — para injetar endereços IP maliciosos, como substituir o 3.15.119.63 de arstechnica.com por um sob controle do atacante.
A indústria respondeu aumentando a entropia por meio de portas de origem aleatórias além da 53, combinadas com IDs de transação, elevando as possibilidades para bilhões e frustrando ataques. No entanto, o CVE-2025-40780 enfraquece isso: “Em circunstâncias específicas, devido a uma fraqueza no Gerador de Números Pseudoaleatórios (PRNG) utilizado, é possível que um atacante preveja a porta de origem e o ID de consulta que o BIND usará”, afirmaram os desenvolvedores do BIND. Isso poderia enganar o BIND para armazenar em cache respostas do atacante se a falsificação for bem-sucedida.
O CVE-2025-40778 permite a injeção de dados falsificados: “Em certas circunstâncias, o BIND é muito leniente ao aceitar registros de respostas, permitindo que um atacante injete dados falsificados no cache”, explicaram os desenvolvedores. A exploração requer falsificação de rede e temporização precisa, afetando apenas a integridade do cache, não o comprometimento do servidor.
A Red Hat observou: “Como a exploração não é trivial, requer falsificação em nível de rede e temporização precisa, e afeta apenas a integridade do cache sem comprometimento do servidor, a vulnerabilidade é considerada Importante em vez de Crítica”. Medidas de contramedida como DNSSEC, limitação de taxa e firewalls permanecem eficazes, limitando o impacto em comparação com 2008. Servidores autoritativos não são afetados. As organizações devem aplicar as correções prontamente.