“It’s always DNS“. Het was een populaire online reactie op de wereldwijde AWS-storing van afgelopen week. Het NCSC verwacht meer ellende als het om DNS-problemen gaat, maar dan door toedoen van DNS-serversoftware BIND 9.
Twee ernstige kwetsbaarheden in BIND 9 maken zogeheten cache poisoning mogelijk. Hierbij levert de DNS-server foutieve antwoorden op DNS-verzoeken van gebruikers. Doordat het verkeerde IP-adres kan worden gecommuniceerd naar het endpoint, zijn aanvallers in staat slachtoffers om te leiden naar een malafide website.
De kwetsbaarheden, CVE-2025-40778 en CVE-2025-40780, scoren een 8,6. Het NCSC roept organisaties op om de beschikbare updates te installeren. De dreiging van misbruik is reëel, nu proof-of-concept code beschikbaar is. De updates zijn vorige week verschenen, dus organisaties hebben de mogelijkheid om zichzelf te beschermen.
Proof-of-concept al beschikbaar
Onderzoekers hebben inmiddels proof-of-concept exploitcode ontwikkeld waarmee de beveiligingslekken in een laboratoriumopstelling zijn te misbruiken. Het NCSC verwacht dat deze code op korte termijn door aanvallers wordt omgezet naar werkende exploits voor cache-poisoning-aanvallen.
“Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden. De mogelijke schade is cache-poisoning. Hierbij gaat de dns verkeerde antwoorden geven, waardoor kwaadwillenden slachtoffers naar malafide servers kunnen leiden,” aldus de overheidsinstantie.
Problemen in populaire dns-software
BIND 9 vertaalt domeinnamen naar IP-adressen en is veruit de meest gebruikte dns-serversoftware op internet. Vorige week verschenen updates voor twee lekken: CVE-2025-40778 en CVE-2025-40780. Beide maken het mogelijk dat aanvallers de dns-server verkeerde antwoorden laten geven op requests van gebruikers.
In plaats van het juiste IP-adres krijgt de gebruiker een verkeerd adres door, waardoor hij naar een verkeerde locatie wordt doorgestuurd. Dit heet cache-poisoning. CVE-2025-40780 betreft een zwakte in de Pseudo Random Number Generator waar BIND 9 gebruik van maakt. Hierdoor kan een aanvaller de source port en query ID voorspellen die BIND zal gebruiken. CVE-2025-40778 zorgt ervoor dat BIND 9 te gemakkelijk records van antwoorden accepteert.