FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

BIND 9 解析器曝出高危漏洞（CVE-2025-40778），攻击者可利用该漏洞实施缓存投毒攻击，将互联网流量重定向至恶意网站。互联网扫描公司 Censys 发现，全球超过 706,000 个暴露在外的 BIND 实例受此影响。

该漏洞 CVSS 评分为 8.6 分，源于 BIND 对 DNS 响应中未经请求的资源记录处理过于宽松，使得非路径攻击者无需直接访问网络即可注入伪造数据。BIND 软件的维护方互联网系统联盟（ISC）于 2025 年 10 月 22 日发布公告，敦促管理员立即修补。

BIND 9 支撑着互联网域名解析的很大一部分，这使得该漏洞对依赖递归解析器的企业、ISP 和政府机构尤为危险。虽然尚未发现主动攻击行为，但 GitHub 上公开的概念验证（PoC）利用代码加剧了威胁，为潜在攻击者提供了实施定向攻击的蓝图。

BIND 9 解析器漏洞分析

CVE-2025-40778 的核心在于 BIND 9 解析器存在逻辑缺陷，会接受并缓存不属于原始查询的资源记录（RRs）。在正常的 DNS 操作中，递归解析器向权威域名服务器发送查询，并期望响应仅包含相关答案、权威数据和附加部分。

然而受影响版本未能严格执行管辖原则（该原则将记录限制在查询域的权威区域内）。这种宽松性使得攻击者能够通过竞争或欺骗响应，注入指向其控制基础设施的伪造地址记录（如 A 或 AAAA 记录）。

该漏洞影响 BIND 9 以下版本：9.11.0 至 9.16.50、9.18.0 至 9.18.39、9.20.0 至 9.20.13 以及 9.21.0 至 9.21.12（包括支持预览版）。9.11.0 之前的版本也被认为存在漏洞但未经评估。

仅递归解析器配置存在风险；纯权威服务器不受影响（除非启用了递归）。一旦缓存被投毒，根据 TTL 值设置，下游客户端可能在数小时或数天内被误导至错误地址，导致钓鱼攻击、数据拦截或服务中断，而无需触发新的查询。

Censys 在漏洞披露前后进行的扫描显示，互联网上公开暴露的易受攻击 BIND 实例超过 706,000 个，凸显了问题的严重性。

BIND 9 缓存投毒漏洞 — CVE-2025-40778

BIND 9 解析器新披露漏洞（CVSS 8.6）允许缓存未经请求的 DNS 应答，使非路径攻击者能够投毒解析器缓存，并将下游用户重定向至攻击者控制的... pic.twitter.com/iEQcDx5mwM — Censys (@censysio) 2025 年 10 月 24 日

由于未计入防火墙后或内部部署的实例，实际受影响数量可能更多。该漏洞可通过网络远程利用，复杂度低且无需特权，被归类为 CWE-349（接受外部不可信数据）。虽然主要威胁是数据完整性，但可能演变为更广泛的攻击，如中间人攻击或通过流量重定向放大拒绝服务攻击。

PoC 及利用风险

研究人员 N3mes1s 在 GitHub 发布的 PoC 演示了如何通过受控环境欺骗响应并验证缓存投毒。该代码展示了非路径攻击者如何监控查询模式，在某些情况下比合法服务器更快响应，从而绕过源端口随机化等传统防护措施。

虽然该代码仅用于教育目的，但安全专家警告称其可能被改编用于实际攻击（特别是针对未打补丁的系统）。截至 2025 年 10 月 25 日尚未发现野外攻击，但该漏洞的披露恰逢 DNS 相关威胁激增，包括同样能通过可预测查询 ID 实现缓存投毒的 CVE-2025-40780。

ISC 指出该问题不会直接影响 DNSSEC 验证区域，但不完整的实现仍可能受害。历史上包括国家支持组织在内的威胁行为者常以 DNS 作为持久化目标，因此快速修补至关重要。

为应对 CVE-2025-40778，ISC 建议升级至以下修补版本：9.18.41、9.20.15、9.21.14 或更高版本。无法立即更新的用户可通过 ACL 将递归限制为可信客户端、启用 DNSSEC 验证以加密验证响应，并使用 BIND 统计通道等工具监控缓存异常。禁用附加段缓存或实施查询速率限制可进一步降低风险。

企业应使用 Censys 或 Shodan 等工具扫描网络中易受攻击的 BIND 实例，并优先处理高流量解析器。作为互联网稳定性的基石，此次事件再次凸显 DNS 安全领域的持续攻防战，ISC 承诺将在未来版本中加强验证机制。

参考来源：

706,000+ BIND 9 Resolver Instances Vulnerable to Cache Poisoning Exposed Online – PoC Released

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）