Nieuws
image

NCSC verwacht misbruik van kwetsbaarheden in dns-software BIND 9

maandag 27 oktober 2025, 09:59 door Redactie, 9 reacties

Het Nationaal Cyber Security Centrum (NCSC) verwacht dat aanvallers misbruik zullen maken van verschillende kwetsbaarheden in dns-serversoftware BIND 9, waardoor cache-poisoning mogelijk is en gebruikers naar malafide locaties worden doorgestuurd. Vorige week verschenen er beveiligingsupdates voor de twee kwetsbaarheden, aangeduid als CVE-2025-40778 en CVE-2025-40780. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.6.

BIND staat voor Berkeley Internet Name Domain. Het is de populairste dns-serversoftware op internet en vertaalt domeinnamen naar ip-adressen. De twee beveiligingslekken in kwestie maken het mogelijk voor een aanvaller om de dns-server verkeerde antwoorden te laten geven op dns-requests van gebruikers. In plaats van het juiste ip-adres geeft de server een verkeerd ip-adres aan de gebruiker door, waardoor die naar een verkeerde locatie wordt doorgestuurd. Dit wordt cache-poisoning genoemd.

CVE-2025-40780 betreft een zwakte in de Pseudo Random Number Generator (PRNG) waar BIND 9 gebruik van maakt, waardoor een aanvaller de source port en query ID kan voorspellen die BIND zal gebruiken. Het andere beveiligingslek, CVE-2025-40778, zorgt ervoor dat BIND 9 te gemakkelijk records van antwoorden accepteert, waardoor aanvallers vervalste data in de cache van de BIND 9-server kunnen injecteren.

Onderzoekers hebben inmiddels proof-of-concept exploitcode ontwikkeld waarmee de beveiligingslekken in een laboratoriumopstelling zijn te misbruiken. Het NCSC verwacht dat deze proof-of-concept exploitcode op korte termijn door aanvallers wordt omgezet naar code waarmee cache-poisoning-aanvallen zijn uit te voeren. "Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden. De mogelijke schade is cache-poisoning. Hierbij gaat de dns verkeerde antwoorden geven, waardoor kwaadwillenden slachtoffers naar malafide servers kunnen leiden", aldus de overheidsinstantie. Die roept organisaties op om de beschikbare updates te installeren.

Reacties (9)
Reageer met quote
Vandaag, 10:11 door Anoniem
NCSC "verwacht misbruik van kwetsbaarheden".
Ikzelf "verwacht traag anticiperen van verantwoordelijken".
Reageer met quote
Vandaag, 10:51 door TALOS
Is al gepatched:

Wed Oct 22 20:26:39 UTC 2025
patches/packages/bind-9.18.41-x86_64-1_slack15.0.txz: Upgraded.
This update fixes security issues:
DNSSEC validation fails if matching but invalid DNSKEY is found.
Address various spoofing attacks.
Cache-poisoning due to weak pseudo-random number generator.
For more information, see:
https://kb.isc.org/docs/cve-2025-0677
https://kb.isc.org/docs/cve-2025-40778
https://kb.isc.org/docs/cve-2025-40780
https://www.cve.org/CVERecord?id=CVE-2025-8677
https://www.cve.org/CVERecord?id=CVE-2025-40778
https://www.cve.org/CVERecord?id=CVE-2025-40780
(* Security fix *)
Reageer met quote
Vandaag, 10:57 door Anoniem
Waar wordt PRNG nog meer voor gebruikt? Welke stukken software gaan we nog zien met updates (en welke niet, die toch kwetsbaar blijken)?
Reageer met quote
Vandaag, 12:02 door Anoniem
Ik ben even bezig geweest met een Terminal opdracht om de DNS BIND9-versie van mijn provider(s) te controleren (zodat ik weet of ik moet switchen), maar helaas wordt uit veiligheidsredenen de versies van BIND9 niet vrij gegeven.

Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Reageer met quote
Vandaag, 12:19 door Anoniem
Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden
Hiermee wordt bind service bedoeld. De server zelf is niet aan de orde.
Reageer met quote
Vandaag, 12:21 door Anoniem
Ik gebruik Firefox en stel zelf de DNS in van NextDNS of die van Cloudflare. Volgens bronnen op het internet wordt er door genoemde organisaties geen gebruik gemaakt van BIND9.

Dus heb ik deze vandaag ingesteld via Firefox>"voorkeuren>privacy&beveiliging".
Geheel onderaan staan de DNS-instellingen.
Reageer met quote
Vandaag, 13:54 door Anoniem
Door Anoniem: Ik ben even bezig geweest met een Terminal opdracht om de DNS BIND9-versie van mijn provider(s) te controleren (zodat ik weet of ik moet switchen), maar helaas wordt uit veiligheidsredenen de versies van BIND9 niet vrij gegeven.

Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Dat hoeft de gebruiker ook niet te weten. IT regelt dat.
Reageer met quote
Vandaag, 14:04 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben even bezig geweest met een Terminal opdracht om de DNS BIND9-versie van mijn provider(s) te controleren (zodat ik weet of ik moet switchen), maar helaas wordt uit veiligheidsredenen de versies van BIND9 niet vrij gegeven.

Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Dat hoeft de gebruiker ook niet te weten. IT regelt dat.
Dan heb je mijn draadje niet begrepen.
Reageer met quote
Vandaag, 14:30 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben even bezig geweest met een Terminal opdracht om de DNS BIND9-versie van mijn provider(s) te controleren (zodat ik weet of ik moet switchen), maar helaas wordt uit veiligheidsredenen de versies van BIND9 niet vrij gegeven.

Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Dat hoeft de gebruiker ook niet te weten. IT regelt dat.
Je wilt ook niet de specifieke versie publiceren om het aanvallers niet makkelijker te maken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search