BIND 9 漏洞的嚴重性與攻擊模型

影響 BIND 9 DNS 解析器的高嚴重性漏洞(CVE-2025-40778) 可能被遠端、未經身份驗證的攻擊者利用，透過快取中毒來操縱 DNS 條目，從而使他們能夠將網路流量重定向到潛在的惡意網站、分發惡意軟體或攔截網路流量。 這種攻擊模式對網路安全構成極大威脅，因為 DNS（域名系統）是網際網路的骨幹，負責將人類可讀的域名轉換為 IP 位址。一旦 DNS 條目被操縱，使用者或系統將被導向錯誤的惡意目的地，導致敏感資料洩露或遭受惡意軟體感染。

BIND 9 在網路基礎設施中的關鍵角色

BIND 9 是網際網路系統聯盟（ISC）所開發的 DNS 軟體套件，是目前唯一且積極維護的版本。它在全球範圍內被廣泛部署，尤其是在運行 Linux 和類 Unix 發行版的系統上。

BIND (v)9 是伯克利互聯網名稱域名 (Berkeley Internet Name Domain) 的最新且唯一積極維護的版本，伯克利互聯網名稱域名是由互聯網系統聯盟 (ISC) 開發的 DNS 軟體套件。該套件允許系統（主要運行 Linux 和類 Unix 發行版）充當：

• 廣告（權威）DNS 伺服器： 用於儲存和提供網域的官方 DNS 記錄。
• 遞歸（解析）伺服器： 透過查詢其他 DNS 伺服器代表用戶端執行 DNS 查找，並可以快取回應以加快將來的查找速度。

CVE-2025-40778 漏洞的目標是 BIND 9 的「遞歸解析器」功能。快取中毒攻擊利用解析器快取回應的機制，將惡意或錯誤的 DNS 記錄注入到快取中，從而污染整個伺服器的 DNS 解析結果。

受影響版本與緊急修復建議

此漏洞影響多個 BIND 9 和 BIND 支援預覽版版本，凸顯了其在廣泛網路環境中的潛在風險。此漏洞影響多個 BIND 9 和 BIND 支援預覽版版本，目前已在 BIND 9 版本 9.18.41、9.20.15 和 9.21.14 以及 BIND 支援預覽版版本 9.18.41-S1 和 9.20.15-S1 修復中修復。 網際網路系統聯盟 (ISC) 已迅速發布修復版本，以解決此關鍵的安全問題。

這些修復版本還包含針對另一個快取中毒漏洞和可能導致拒絕服務漏洞的修補程式。 這意味著升級不僅能解決 CVE-2025-40778，還能增強對其他相關安全威脅的防禦能力。這些漏洞沒有已知的解決方法，因此建議管理員盡快升級到與目前版本的 BIND 9 最密切相關的修補版本。 由於缺乏可行的臨時緩解措施（Workaround），唯一的解決方案是立即執行軟體升級。系統管理員必須將 DNS 伺服器的升級視為當前最優先的網路安全任務，以防止遠端攻擊者利用此漏洞控制網路流量。

資料來源：https://www.helpnetsecurity.com/2025/10/28/bind-9-vulnerability-cve-2025-40778-poc/