70.6 万余台 BIND 9 解析器实例暴露在线易遭缓存投毒攻击 - PoC 已公开
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
BIND 9 解析器存在高危漏洞(CVE-2025-40778),攻击者可利用该漏洞实施缓存投毒,重定向流量至恶意网站。全球超过 706,000 个 BIND 实例受影响,CVSS 评分为 8.6。维护方 ISC 已发布修补建议,企业应尽快更新以防止攻击。
🎯
关键要点
- BIND 9 解析器存在高危漏洞(CVE-2025-40778),可被攻击者利用实施缓存投毒。
- 全球超过 706,000 个 BIND 实例受此漏洞影响,CVSS 评分为 8.6。
- 该漏洞源于 BIND 对 DNS 响应中未经请求的资源记录处理过于宽松。
- 攻击者可通过竞争或欺骗响应,注入伪造地址记录,导致流量重定向至恶意网站。
- 受影响的 BIND 版本包括 9.11.0 至 9.16.50、9.18.0 至 9.18.39、9.20.0 至 9.20.13 及 9.21.0 至 9.21.12。
- 一旦缓存被投毒,下游客户端可能在数小时或数天内被误导,导致钓鱼攻击或服务中断。
- 漏洞可通过网络远程利用,复杂度低且无需特权,主要威胁数据完整性。
- GitHub 上发布的 PoC 演示了如何通过受控环境欺骗响应并验证缓存投毒。
- ISC 建议用户尽快升级至修补版本,或采取其他安全措施以降低风险。
- 此次事件再次凸显 DNS 安全领域的持续攻防战,ISC 承诺加强未来版本的验证机制。
❓
延伸问答
BIND 9 解析器的高危漏洞是什么?
BIND 9 解析器存在高危漏洞CVE-2025-40778,攻击者可利用该漏洞实施缓存投毒,重定向流量至恶意网站。
这个漏洞影响了多少个 BIND 实例?
全球超过706,000个BIND实例受此漏洞影响。
CVE-2025-40778 漏洞的 CVSS 评分是多少?
该漏洞的CVSS评分为8.6。
攻击者如何利用这个漏洞进行攻击?
攻击者可以通过竞争或欺骗响应,注入伪造地址记录,导致流量重定向至恶意网站。
如何防止 BIND 9 解析器的缓存投毒攻击?
ISC建议用户尽快升级至修补版本,或采取其他安全措施如限制递归查询、启用DNSSEC验证等。
这个漏洞对企业和ISP的影响是什么?
该漏洞对依赖递归解析器的企业和ISP尤为危险,可能导致钓鱼攻击或服务中断。
➡️
