NCSC verwacht misbruik van kwetsbaarheden in dns-software BIND 9
Het Nationaal Cyber Security Centrum (NCSC) verwacht dat aanvallers misbruik zullen maken van verschillende kwetsbaarheden in dns-serversoftware BIND 9, waardoor cache-poisoning mogelijk is en gebruikers naar malafide locaties worden doorgestuurd. Vorige week verschenen er beveiligingsupdates voor de twee kwetsbaarheden, aangeduid als CVE-2025-40778 en CVE-2025-40780. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.6.
BIND staat voor Berkeley Internet Name Domain. Het is de populairste dns-serversoftware op internet en vertaalt domeinnamen naar ip-adressen. De twee beveiligingslekken in kwestie maken het mogelijk voor een aanvaller om de dns-server verkeerde antwoorden te laten geven op dns-requests van gebruikers. In plaats van het juiste ip-adres geeft de server een verkeerd ip-adres aan de gebruiker door, waardoor die naar een verkeerde locatie wordt doorgestuurd. Dit wordt cache-poisoning genoemd.
CVE-2025-40780 betreft een zwakte in de Pseudo Random Number Generator (PRNG) waar BIND 9 gebruik van maakt, waardoor een aanvaller de source port en query ID kan voorspellen die BIND zal gebruiken. Het andere beveiligingslek, CVE-2025-40778, zorgt ervoor dat BIND 9 te gemakkelijk records van antwoorden accepteert, waardoor aanvallers vervalste data in de cache van de BIND 9-server kunnen injecteren.
Onderzoekers hebben inmiddels proof-of-concept exploitcode ontwikkeld waarmee de beveiligingslekken in een laboratoriumopstelling zijn te misbruiken. Het NCSC verwacht dat deze proof-of-concept exploitcode op korte termijn door aanvallers wordt omgezet naar code waarmee cache-poisoning-aanvallen zijn uit te voeren. "Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden. De mogelijke schade is cache-poisoning. Hierbij gaat de dns verkeerde antwoorden geven, waardoor kwaadwillenden slachtoffers naar malafide servers kunnen leiden", aldus de overheidsinstantie. Die roept organisaties op om de beschikbare updates te installeren.
Ikzelf "verwacht traag anticiperen van verantwoordelijken".
Wed Oct 22 20:26:39 UTC 2025
patches/packages/bind-9.18.41-x86_64-1_slack15.0.txz: Upgraded.
This update fixes security issues:
DNSSEC validation fails if matching but invalid DNSKEY is found.
Address various spoofing attacks.
Cache-poisoning due to weak pseudo-random number generator.
For more information, see:
https://kb.isc.org/docs/cve-2025-0677
https://kb.isc.org/docs/cve-2025-40778
https://kb.isc.org/docs/cve-2025-40780
https://www.cve.org/CVERecord?id=CVE-2025-8677
https://www.cve.org/CVERecord?id=CVE-2025-40778
https://www.cve.org/CVERecord?id=CVE-2025-40780
(* Security fix *)
Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Dus heb ik deze vandaag ingesteld via Firefox>"voorkeuren>privacy&beveiliging".
Geheel onderaan staan de DNS-instellingen.
Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Wel vervelend, want nu weet de gebruiker niet of hij zelf veiligheidsmaatregelen moet nemen.
Dit zat in BIND code, dus deze specifieke implementatie alleen door BIND.
Het was even zoeken.
De CVE zegt dat de seed (te) voorspelbaar was.
internal state can be recovered by an external 3rd party allowing to
predict UDP ports and DNS IDs in the outgoing queries. This could lead
to an attacker spoofing the DNS answers with great efficiency and
poisoning the DNS cache.
Change the internal random generator to system CSPRNG with buffering to
avoid excessive syscalls.
Thanks Omer Ben Simhon and Amit Klein of Hebrew University of Jerusalem
for responsibly reporting this to us. Very cool research!
https://en.wikipedia.org/wiki/Xorshift
https://prng.di.unimi.it/
Geen idee of deze PRNG (veel) vaker gebruikt wordt.
performance kan best een issue zijn - een DNS onder load heeft _veel_ random poorten nodig.
Om erachter te komen wat BIND gebruikt zou je in de broncode ervan moeten kijken, die staat ongetwijfeld ergens, het is open source. Als ze een generieke library gebruik(t)en die ook door andere software gebruikt wordt, dan kan er ook andere software met dit probleem zijn, al weet je nog niet welke. Als ze zelf een PRNG geïmplementeerd hadden dan is het meteen behoorlijk onwaarschijnlijk dat dit ook andere software kan raken. Ik ga die moeite niet doen.
Dit zat in BIND code, dus deze specifieke implementatie alleen door BIND.
Het was even zoeken.
De CVE zegt dat de seed (te) voorspelbaar was.
internal state can be recovered by an external 3rd party allowing to
predict UDP ports and DNS IDs in the outgoing queries. This could lead
to an attacker spoofing the DNS answers with great efficiency and
poisoning the DNS cache.
Change the internal random generator to system CSPRNG with buffering to
avoid excessive syscalls.
Thanks Omer Ben Simhon and Amit Klein of Hebrew University of Jerusalem
for responsibly reporting this to us. Very cool research!
https://en.wikipedia.org/wiki/Xorshift
https://prng.di.unimi.it/
Geen idee of deze PRNG (veel) vaker gebruikt wordt.
performance kan best een issue zijn - een DNS onder load heeft _veel_ random poorten nodig.
toe te voegen : de quote over het issue , te publiceren vulberability en de naam van de prng is wat in de commit message van de bugfix staat .
In ieder geval in OS en die SSL/TLS ondersteunen.
Het is niets meer of minder dan een random nummer generator.
De parameters voor de PRNG in Bind zijn dus niet goed gekozen.
Er zijn bijkomende barrieres tegen off-path poisoning:
- Het al dan niet aanstaan van DNS cookies tussen authoritative nameserver en de target resolver
- DNS prefetching
- De netwerk latency tussen de aanvaller en de target resolver
- De load van de target resolver
Vermoedelijk heeft bovenstaand zich vertaald naar "In specific circumstances" in de CVE beschrijving.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?