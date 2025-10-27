“It’s always DNS“. Het was een populaire online reactie op de wereldwijde AWS-storing van afgelopen week. Het NCSC verwacht meer ellende als het om DNS-problemen gaat, maar dan door toedoen van DNS-serversoftware BIND 9.

Twee ernstige kwetsbaarheden in BIND 9 maken zogeheten cache poisoning mogelijk. Hierbij levert de DNS-server foutieve antwoorden op DNS-verzoeken van gebruikers. Doordat het verkeerde IP-adres kan worden gecommuniceerd naar het endpoint, zijn aanvallers in staat slachtoffers om te leiden naar een malafide website.

De kwetsbaarheden, CVE-2025-40778 en CVE-2025-40780, scoren een 8,6. Het NCSC roept organisaties op om de beschikbare updates te installeren. De dreiging van misbruik is reëel, nu proof-of-concept code beschikbaar is. De updates zijn vorige week verschenen, dus organisaties hebben de mogelijkheid om zichzelf te beschermen.

Proof-of-concept al beschikbaar

Onderzoekers hebben inmiddels proof-of-concept exploitcode ontwikkeld waarmee de beveiligingslekken in een laboratoriumopstelling zijn te misbruiken. Het NCSC verwacht dat deze code op korte termijn door aanvallers wordt omgezet naar werkende exploits voor cache-poisoning-aanvallen.

“Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden. De mogelijke schade is cache-poisoning. Hierbij gaat de dns verkeerde antwoorden geven, waardoor kwaadwillenden slachtoffers naar malafide servers kunnen leiden,” aldus de overheidsinstantie.

Problemen in populaire dns-software

BIND 9 vertaalt domeinnamen naar IP-adressen en is veruit de meest gebruikte dns-serversoftware op internet. Vorige week verschenen updates voor twee lekken: CVE-2025-40778 en CVE-2025-40780. Beide maken het mogelijk dat aanvallers de dns-server verkeerde antwoorden laten geven op requests van gebruikers.

In plaats van het juiste IP-adres krijgt de gebruiker een verkeerd adres door, waardoor hij naar een verkeerde locatie wordt doorgestuurd. Dit heet cache-poisoning. CVE-2025-40780 betreft een zwakte in de Pseudo Random Number Generator waar BIND 9 gebruik van maakt. Hierdoor kan een aanvaller de source port en query ID voorspellen die BIND zal gebruiken. CVE-2025-40778 zorgt ervoor dat BIND 9 te gemakkelijk records van antwoorden accepteert.

Lees ook: Probleem in DNS-systeem veroorzaakte AWS-storing