'Duizenden dns-servers missen belangrijke update voor BIND 9-lekken
Duizenden dns-servers die op BIND 9 draaien, waaronder zo'n honderd in Nederland, missen een beveiligingsupdate voor twee belangrijke beveiligingslekken die cache-poisoning mogelijk maken. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Het Nationaal Cyber Security Centrum (NCSC) meldde eerder dat het verwacht dat aanvallers misbruik van de kwetsbaarheden zullen maken.
BIND staat voor Berkeley Internet Name Domain. Het is de populairste dns-serversoftware op internet en vertaalt domeinnamen naar ip-adressen. De twee beveiligingslekken (CVE-2025-40778 en CVE-2025-40780) in kwestie maken het mogelijk voor een aanvaller om de dns-server verkeerde antwoorden te laten geven op dns-requests van gebruikers. In plaats van het juiste ip-adres geeft de server een verkeerd ip-adres aan de gebruiker door, waardoor die naar een verkeerde locatie wordt doorgestuurd. Dit wordt cache-poisoning genoemd.
Eind oktober verschenen er updates voor de twee kwetsbaarheden. CVE-2025-40780 betreft een zwakte in de Pseudo Random Number Generator (PRNG) waar BIND 9 gebruik van maakt, waardoor een aanvaller de source port en query ID kan voorspellen die BIND zal gebruiken. Het andere beveiligingslek, CVE-2025-40778, zorgt ervoor dat BIND 9 te gemakkelijk records van antwoorden accepteert, waardoor aanvallers vervalste data in de cache van de BIND 9-server kunnen injecteren.
Via de beveiligingslekken is cache-poisoning mogelijk, waardoor internet gebruikers naar malafide locaties worden doorgestuurd. The Shadowserver Foundation deed een online scan naar BIND 9-servers en detecteerde er meer dan 8200 die de uitgebrachte beveiligingsupdate missen. Daarvan bevinden zich er zo'n honderd in Nederland. Het grootste aantal nog kwetsbare BIND 9-servers werd met bijna dertienhonderd in de Verenigde Staten waargenomen.
En keer op keer, lezen we dit soort meldingen en rapt niemand zich achter zijn oren?
En keer op keer, lezen we dit soort meldingen en rapt niemand zich achter zijn oren?
even opgezocht: is het bind9 probleem van toepassing op linux
antwoord: Ja, het BIND9-probleem is zeker van toepassing op Linux. BIND9 is een veelgebruikte DNS-server op Linux-systemen, en recente kwetsbaarheden kunnen ernstige gevolgen hebben zoals cache poisoning en denial-of-service (DoS).
in juli en oktober 2025 zijn meerdere kritieke kwetsbaarheden ontdekt in BIND9, waaronder:
CVE-2025-40776: Een cache poisoning-aanval via EDNS Client Subnet (ECS) opties. Deze treft vooral de BIND Subscription Edition en heeft een CVSS-score van 8.6.
CVE-2025-40777: Een denial-of-service-kwetsbaarheid die misbruik maakt van specifieke configuraties zonder authenticatie.
CVE-2025-8677, CVE-2025-40778, CVE-2025-40780: Andere ernstige kwetsbaarheden die Debian-systemen treffen, met fixes beschikbaar voor versies zoals Debian Bookworm en Trixie.
CVE-2024-0760 en CVE-2024-1737: Oudere kwetsbaarheden die ook instabiliteit en resource-uitputting veroorzaken
Waarom is dit relevant voor Linux?
BIND9 is standaard op veel Linux-distributies zoals Debian, Ubuntu, CentOS en Fedora.
Linux-servers gebruiken BIND9 vaak als primaire DNS-server, vooral in enterprise-omgevingen.
Beveiligingsupdates zijn cruciaal: Zonder patches kunnen systemen kwetsbaar zijn voor aanvallen die DNS-verkeer manipuleren of de server platleggen.
En keer op keer, lezen we dit soort meldingen en rapt niemand zich achter zijn oren?
nah Bind9 is per default lek, je zou je af moeten vragen waarom mensen dit nog gebruiken.
En keer op keer, lezen we dit soort meldingen en rapt niemand zich achter zijn oren?
Linux kan super veilig zijn, linux kan zo lek als een mandje zijn. Ligt er maar net aan wie je achter de knoppen zet.
En er zijn gewoon systemen beschikbaar die sysops proactief informeren over CVE's op hun systemen.
In dit geval gaat het om 2 CVE's waarvoor geen exploits in het wild zijn (welke bijna een maand geleden aan het licht zijn gekomen).
Bind is gewoon eenvoudig te updaten, dus eigenlijk is er geen excuus voor het niet patchen van de getroffen systemen.
Ik denk dat het hier in de meeste gevallen gaat om laksigheid.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?