admin11 一、概述
Internet Systems Consortium (ISC) 警告称,其维护的 DNS 服务器软件 BIND 9 存在两项高危漏洞,可能被利用来重现早年臭名昭著的 DNS 缓存投毒攻击。攻击者可伪造域名解析记录,将访问者引导至恶意网站。
这意味着一种被认为早已过时的攻击方式,或将因这些漏洞而“重获新生”。
二、漏洞详情
CVE-2025-40776:ECS 功能导致缓存投毒风险
- 当 BIND 启用 EDNS Client Subnet(ECS) 功能时,攻击者可利用“生日攻击”(birthday attack)突破源端口随机化机制。
- 一旦成功,攻击者即可伪造来自权威 DNS 服务器的响应,从而向本地解析器缓存注入虚假记录。
- 该漏洞的严重等级为 高危(CVSS 8.6)。
CVE-2025-40777:“陈旧答案”机制可能触发服务崩溃
- 若服务器启用了 serve-stale 功能,并将
stale-answer-client-timeout设为 0,BIND 可能在处理查询时发生断言失败。 - 这将导致 拒绝服务(DoS) 问题,使解析服务中断。
- 该漏洞的严重等级为 高危(CVSS 7.5)。
三、潜在影响
- 攻击者可在受影响解析器上伪造缓存条目,诱导用户访问钓鱼网站或恶意服务器。
- 对运营公共 DNS 的企业、云服务提供商或 ISP 而言,此类攻击可能造成严重信任危机和大规模网络劫持。
- 由于 BIND 是全球最广泛使用的 DNS 实现之一,其影响范围相当广。
四、官方建议与临时缓解
- 立即升级 至已修复漏洞的最新 BIND 版本。
- 若暂时无法更新:
- 对 CVE-2025-40776,建议 禁用 ECS (移除
ecs-zones配置项)。 - 对 CVE-2025-40777,建议将
stale-answer-client-timeout设置为 非 0,或直接禁用serve-stale功能。
- 对 CVE-2025-40776,建议 禁用 ECS (移除
- 定期审计 DNS 配置,确保启用最新安全补丁与防护机制。
五、背景与启示
DNS 缓存投毒(DNS Cache Poisoning)是一种历史悠久的攻击手法,最早可追溯至 2008 年的 Dan Kaminsky 漏洞事件。当时全球大量 DNS 服务器因未随机化查询端口而遭攻击。
此次 BIND 漏洞表明,即使经过十多年安全改进,新的功能配置仍可能重新引入旧有威胁。
六、结语
这次事件提醒网络管理员:
- “旧问题”往往会在新功能中以新的形式出现。
- 对于核心网络基础设施,如 DNS 解析服务,持续的安全审计与更新 至关重要。