Die Entwickler des Internet Systems Consortium (ISC) warnen vor drei schwerwiegenden Sicherheitslücken in der DNS-Software BIND 9, die weltweit in kritischen Netzwerken im Einsatz ist. Zwei der Schwachstellen (CVE-2025-40778 und CVE-2025-40780) ermöglichen es Angreifern, DNS-Caches zu manipulieren und Nutzer auf gefälschte Websites umzuleiten. Eine dritte Lücke (CVE-2025-8677) kann Denial-of-Service-Angriffe (DoS) auf DNS-Resolver auslösen, wie SOC Prime in einem ausführlichen Blogbeitrag erläutert.

Manipulierbare DNS-Antworten

Laut ISC liegt das Risiko insbesondere darin, dass Angreifer DNS-Antworten manipulieren können – ein Prinzip, das an die berüchtigte Kaminsky-Schwachstelle aus dem Jahr 2008 erinnert. Während damals vorhersagbare Transaktions-IDs das Problem waren, resultieren die aktuellen Angriffe aus einem Logikfehler in der Behandlung unerwünschter Resource Records sowie aus Schwächen im Zufallszahlengenerator, der Abfrage-IDs und Ports generiert. Eine weitere Schwachstelle betrifft den Umgang mit speziell präparierten DNSKEY-Einträgen, die den Prozessor von Resolvern überlasten können.

Lücken lassen sich remote ausnutzen

Um die Angriffsflächen zu schließen, empfiehlt das ISC ein Update auf die Versionen 9.18.41, 9.20.15 oder 9.21.14 von BIND 9. Derzeit sind keine aktiven Angriffe bekannt, dennoch gilt laut Sicherheitsexperten Eile beim Patchen, da sich die Lücken remote und ohne Benutzerinteraktion ausnutzen lassen. BIND 9 gilt als das am weitesten verbreitete DNS-Serversystem und wird in zahlreichen Unternehmens-, Provider- und Regierungsnetzwerken eingesetzt.